Boletins de segurança

Os seguintes boletins de segurança são relacionados aos produtos do Google Cloud .

Use este feed XML para se inscrever nos boletins de segurança desta página. Inscreva-se

GCP-2026-012

Publicado em: 20/02/2026

Descrição

Descrição Gravidade Observações

Na Google Cloud Vertex AI, foi identificada uma vulnerabilidade envolvendo a nomenclatura previsível de buckets nos experimentos da Vertex AI da versão 1.21.0 até a 1.133.0 (sem incluir essa última).

O que devo fazer?

Nenhuma ação do cliente é necessária para a mitigação.

A CVE-2026-2473 permite que um invasor remoto não autenticado realize execução de código remoto entre locatários, roubo e envenenamento de modelos usando a pré-criação de buckets do Cloud Storage com nomes previsíveis (ocupação de buckets). Essa vulnerabilidade foi identificada na versão 1.21.0 dos Experimentos da Vertex AI. As mitigações já foram aplicadas à versão 1.133.0 e posteriores.

 Alta CVE-2026-2473

GCP-2026-011

Publicado em: 20/02/2026

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de script entre sites (XSS, na sigla em inglês) armazenada em _genai/_evals_visualization foi identificada no Google google-cloud-aiplatform (visualização do SDK Python da Vertex AI) no Exclusively-Hosted-Service.

O que devo fazer?

Os clientes precisam atualizar o SDK do Python google-cloud-aiplatform para a versão 1.131.0 (lançada em 16/12/2025) ou mais recente para receber a correção.

A CVE-2026-2472 permite que um invasor remoto não autenticado execute JavaScript arbitrário no ambiente Jupyter ou Colab de uma vítima usando sequências de escape de script injetadas em resultados de avaliação de modelo ou dados JSON de conjunto de dados. Essa vulnerabilidade foi identificada no Google google-cloud-aiplatform (SDK da Vertex AI para Python) antes da versão 1.131.0.

 Alta CVE-2026-2472

GCP-2026-010

Publicado em:13/02/2026

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi identificada na plataforma Apigee, que poderia permitir que um usuário malicioso com permissões de administrador ou de desenvolvedor no próprio ambiente do Apigee elevasse privilégios e acessasse dados entre locatários.

Especificamente, uma vulnerabilidade na tecnologia de sandbox do Apigee X permitiu o uso de um endpoint link-local para acessar tokens de conta de serviço (P4SA) em um projeto de locatário do cliente. Ao aproveitar essa identidade, um invasor poderia ler metadados de análise ou adulterar registros de monitoramento interno em outras organizações (locatários) do Apigee.

O que devo fazer?

Nenhuma ação do cliente é necessária. O Google implementou uma estratégia de mitigação de várias camadas para resolver esse problema:

  • Mitigação da exploração de tokens:o vetor de exploração do token da conta de serviço do Apigee em pods de ambiente de execução foi mitigado.
  • Princípio do menor privilégio:as permissões da conta de serviço do Apigee foram restritas para evitar modificações não autorizadas.
  • Isolamento de dados:o acesso de contas de serviço no nível da pasta a buckets multilocatários do Google Cloud Storage foi removido.

O Google confirmou que, embora os registros de monitoramento interno fossem teoricamente acessíveis, eles são usados apenas internamente pelo Google, e a exposição deles não afeta a segurança ou a integridade dos dados do cliente na Apigee.

 Alta CVE-2025-13292

GCP-2026-009

Publicado em:13/02/2026

Descrição

Descrição Gravidade Observações

As versões da interface do usuário do Log Analytics anteriores a janeiro de 2026 podem ser configuradas para executar consultas SQL automaticamente. Uma vulnerabilidade pode permitir que um invasor crie um URL de consulta que, quando aberto por alguém com credenciais, pode acessar o conteúdo da tabela ou gerar um custo de consulta.

Para mais informações, consulte o boletim de segurança do Google Cloud Observability.

 Alta

GCP-2026-008

Publicado em:10/02/2026

Descrição

Descrição Gravidade Observações

Um conjunto de vulnerabilidades de segurança afeta o firmware do Intel® TDX. Essas vulnerabilidades abrangem várias falhas, incluindo condições de corrida (CVE-2025-30513, CVE-2025-31944), leituras fora dos limites (CVE-2025-32007, CVE-2025-27940), uso de uma variável não inicializada (CVE-2025-32467) e exposição de informações sensíveis durante a execução temporária (CVE-2025-27572). Em conjunto, esses problemas podem permitir a divulgação de informações, a elevação de privilégios ou a negação de serviço. A exploração geralmente exige acesso de usuário privilegiado no sistema.

O que devo fazer?

Nenhuma ação do cliente é necessária. Todas as correções relevantes foram aplicadas à frota de servidores do Google. Para mais informações, consulte o aviso técnico do PSIRT da Intel INTEL-TA-01397.

Alta

GCP-2026-007

Publicado em: 09/02/2026

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-40297

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40297

GCP-2026-006

Publicado em: 29/01/2026

Atualizado em:2026-02-20

Descrição

Descrição Gravidade Observações

Atualização de 20/02/2026:adicionamos versões de patch para o GKE.

Várias vulnerabilidades de segurança foram identificadas na biblioteca OpenSSL. A descoberta mais significativa é a CVE-2025-15467, uma vulnerabilidade crítica que pode permitir a execução remota de código (RCE) ou ataques de negação de serviço (DoS) por vetores baseados em rede.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-15467

GCP-2026-005

Publicado em: 28/01/2026

Descrição

Descrição Gravidade Observações

Essa vulnerabilidade afeta a interface da análise de registros e as versões da interface de painéis do Cloud Monitoring anteriores a janeiro de 2026.

Para mais informações, consulte o boletim de segurança do Google Cloud Observability.

 Alta

GCP-2026-004

Publicado em: 14/01/2026

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade em alguns processadores Arm que afeta as VMs C4A e A4X foi descoberta no Compute Engine:

  • CVE-2025-0647

Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.

 Médio CVE-2025-0647

GCP-2026-003

Publicado em: 09/01/2026

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-39964

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-39964

GCP-2026-002

Publicado em: 07/01/2026

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-40215

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40215

GCP-2026-001

Publicado em: 07/01/2026

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-40214

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40214

GCP-2025-076

Publicado em: 08/12/2025

Descrição

Descrição Gravidade Observações

A seguinte vulnerabilidade foi descoberta no Cloud Data Fusion:

  • CVE-2025-9571

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Data Fusion.

 Alta CVE-2025-9571

GCP-2025-075

Publicado em: 07/12/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade no recurso de integrações personalizadas do SOAR do Google Security Operations pode permitir que um usuário autenticado com uma função de IDE realize a execução remota de código (RCE, na sigla em inglês) no servidor. A vulnerabilidade ocorreu devido à validação insuficiente do código do pacote Python, permitindo que um invasor fizesse upload de um pacote com um arquivo setup.py malicioso. Esse arquivo pode ser executado durante a instalação, comprometendo o servidor.

O que devo fazer?

Nenhuma ação do cliente é necessária. Todos os clientes receberam upgrade automático para a versão corrigida: 6.3.64 ou mais recente.

 Alta CVE-2025-13428

GCP-2025-074

Publicado em: 05/12/2025

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-39965

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-39965

GCP-2025-073

Published:2025-12-03

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no Envoy Proxy:

  • CVE-2025-66220
  • CVE-2025-64527
  • CVE-2025-64763

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

 Médio

GCP-2025-072

Publicado em: 04/12/2025

Atualizado em: 05/12/2025

Descrição

Descrição Gravidade Observações

Atualização de 04/12/2025:uma regra de firewall de aplicativo da Web já está disponível.

Uma vulnerabilidade de execução remota de código foi encontrada nos frameworks de código aberto React e Next.js. Embora o Google Cloud não seja vulnerável, os usuários desses frameworks executados no Google Cloud podem estar vulneráveis.

As seguintes versões do framework são afetadas por essa vulnerabilidade:

  • React 19.0, 19.1.0, 19.1.1 e 19.2.0
  • Next.js 15.x, Next.js 16.x e Next.js 14.3.0-canary.77 e versões canary mais recentes

As seguintes versões do framework incluem correções para essa vulnerabilidade:

  • React 19.0.1, 19.1.2 e 19.2.1
  • Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58 e 16.0.7

Para mais informações, consulte os avisos do React e da Vercel sobre essas vulnerabilidades.

Os clientes precisam tomar medidas imediatas para proteger as cargas de trabalho reimplantando-as com dependências atualizadas.

Como o Google pode ajudar?

Uma regra de firewall de aplicativos da Web (WAF) do Cloud Armor projetada para detectar e bloquear tentativas de exploração relacionadas foi disponibilizada. Essa nova regra foi criada para ajudar a proteger seus aplicativos e serviços voltados para a Internet que usam balanceadores de carga de aplicativo globais ou regionais. Recomendamos implantar essa regra como uma mitigação temporária enquanto você atualiza suas cargas de trabalho. As instruções para aplicar essa regra estão disponíveis nesta postagem do blog.

Para clientes que usam o App Engine Standard, o Cloud Functions, o Cloud Run Functions, o Cloud Run, o Firebase Hosting ou o Firebase App Hosting, uma regra já é aplicada para limitar a exploração por solicitações a domínios personalizados e padrão.

Os clientes que usam Artifact Analysis vão receber notificações sobre essas vulnerabilidades em artefatos novos e atuais para ajudar a identificar cargas de trabalho em risco.

Este boletim de segurança será atualizado quando novas informações forem disponibilizadas.

 Crítico CVE-2025-55182

GCP-2025-071

Publicado em: 02/12/2025

Atualizado em:11/12/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/12/2025 : adicionamos versões de patch e uma classificação de gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-40019

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40019

GCP-2025-070

Publicado em: 02/12/2025

Atualizado em:11/12/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/12/2025 : adicionamos versões de patch e uma classificação de gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-40018

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40018

GCP-2025-069

Publicado em: 24/11/2025

Descrição

Descrição Gravidade Observações

Vários problemas de segurança foram descobertos no runc, um componente de software de código aberto usado para executar contêineres. Os ataques divulgados nessas vulnerabilidades (CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881) permitem que um invasor execute uma invasão completa do contêiner nos seus pools de workers e jobs do Cloud Run, levando ao escalonamento de privilégios raiz do contêiner para a instância em sandbox. Um ator com privilégios para implantar uma imagem de contêiner maliciosa pode explorar essas vulnerabilidades para acessar outros contêineres na instância em sandbox do Cloud Run.

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

Os pools de workers, os jobs e um número limitado de serviços que ainda não foram atualizados estão vulneráveis.

Uma atualização está sendo preparada para lançamento no início de janeiro. Este boletim será atualizado quando o lançamento for concluído.

Informe qualquer problema relacionado a essa vulnerabilidade ao Programa de recompensas por vulnerabilidades do Google Cloud em g.co/vrp.

 Alta

GCP-2025-068

Publicado em: 21/11/2025

Descrição

Descrição Gravidade Observações

O Looker corrigiu uma vulnerabilidade que poderia permitir que um invasor com permissões de leitor no Looker criasse um URL malicioso que, quando aberto por um administrador do Looker, executaria um script fornecido pelo invasor. A exploração exigia pelo menos uma extensão do Looker instalada na instância.

As instâncias hospedadas pelo Looker e auto-hospedadas foram consideradas vulneráveis.

O problema já foi resolvido para instâncias hospedadas pelo Looker.

O que devo fazer?

Instâncias hospedadas pelo Looker:

Nenhuma ação do cliente é necessária.

Apenas instâncias auto-hospedadas do Looker:

Se a instância do Looker for auto-hospedada, recomendamos fazer upgrade o mais rápido possível. Essa vulnerabilidade foi corrigida em todas as versões compatíveis do Looker para instâncias auto-hospedadas. As versões abaixo foram atualizadas para evitar esse tipo de problema:

  • 25.16.0 e todas as versões posteriores
  • 25.12.7+
  • 25.6.66+
  • 25.0.79+
  • 24.18.201+

Faça o download dessas versões do Looker na página de download do Looker: https://download.looker.com/

 Alta CVE-2025-12739

GCP-2025-067

Publicado em: 19/11/2025

Descrição

Descrição Gravidade Observações

O Looker corrigiu uma vulnerabilidade que poderia permitir que um invasor assumisse o controle de uma conta do Looker em uma instância configurada com autenticação OIDC devido à normalização da string de endereço de e-mail.

As instâncias hospedadas pelo Looker e auto-hospedadas foram consideradas vulneráveis.

O problema já foi resolvido para instâncias hospedadas pelo Looker.

O que devo fazer?

Instâncias hospedadas pelo Looker:

Nenhuma ação do cliente é necessária.

Apenas instâncias auto-hospedadas do Looker:

Se a instância do Looker for auto-hospedada, recomendamos fazer upgrade para uma das seguintes versões assim que possível:

  • 25.10.22+
  • 25.8.39+
  • 25.6.57+
  • 25.0.69+
  • 24.18.193+
  • 24.12.100+

Faça o download dessas versões do Looker na página de download do Looker: https://download.looker.com/

Observação: as versões 25.12 e mais recentes não são afetadas por esse problema de segurança.

 Alta CVE-2025-12414

GCP-2025-066

Publicado em: 10/11/2025

Atualizado em: 27/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 27/11/2025:adicionamos versões de patch para o GKE e o GDC (bare metal).

Um conjunto de três vulnerabilidades de escape de contêiner foi descoberto no runc, o runtime de contêiner padrão de baixo nível para o GKE. As vulnerabilidades podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP-2025-065

Publicado em: 06/11/2025

Descrição

Descrição Gravidade Observações

Os pesquisadores descobriram uma vulnerabilidade no AMD SEV-SNP (Secure Nested Paging) em máquinas AMD Milan.

Um ataque pode permitir que um hipervisor malicioso manipule valores de inicialização do RMP, resultando potencialmente na perda da integridade da memória do convidado AMD SEV-SNP.

O Google lançou uma mitigação que impede esse problema.

O que devo fazer?

Nenhuma ação do cliente é necessária para a mitigação. As mitigações já foram aplicadas às instâncias de VM confidencial com AMD SEV-SNP.

No entanto, as instâncias de VM confidencial com AMD SEV-SNP agora usam o formato de atestado v4. Os clientes que usam a biblioteca go-sev-guest para analisar relatórios de atestado precisam atualizar para go-sev-guest v0.14.0 ou superior.

Para clientes que usam os próprios analisadores, o formato do relatório de atestado é definido pela especificação de ABI do firmware de paginação aninhada segura do SEV.

Quais vulnerabilidades estão sendo abordadas?

Para mais informações, consulte o aviso da AMD AMD-SB-3020.

 Médio CVE-2025-0033

GCP-2025-064

Publicado em: 28/10/2025

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no Envoy Proxy:

  • CVE-2025-62504
  • CVE-2025-62409

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

 Médio

GCP-2025-063

Publicado em: 28/10/2025

Atualizado em: 17/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 17/11/2025:adicionamos versões de patch para nós do Ubuntu no GKE.

Atualização de 30/10/2025:adicionamos versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-39682

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-39682

GCP-2025-062

Publicado em: 22/10/2025

Atualizado em: 30/10/2025

Descrição

Descrição Gravidade Observações

Atualização de 30/10/2025:adicionamos versões de patch para nós do Ubuntu no GKE, além de versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-58240

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-58240

GCP-2025-061

Publicado em: 21/10/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de execução remota de código foi encontrada no Valkey e no Redis de código aberto. Como resultado, todas as versões compatíveis com o Memorystore para Redis, o Memorystore para Redis Cluster e o Memorystore para Valkey são afetadas.

Por padrão, os recursos do Memorystore do Google Cloud não são expostos à Internet pública. Portanto, o risco dessa vulnerabilidade é baixo para usuários do Memorystore que seguem as práticas recomendadas de segurança do Google Cloud.

O que você deve fazer?

O Google começou a aplicar patches automaticamente, com uma data de conclusão estimada de 6 de novembro de 2025. Você não precisa fazer nada para receber essa correção.

Se você quiser aplicar esses patches aos seus clusters ou instâncias do Memorystore antes de 6 de novembro de 2025, use a manutenção de autoatendimento para concluir as seguintes ações:

  1. Confira a versão de manutenção atual das suas instâncias do Memorystore para Redis, dos clusters no Memorystore para Redis Cluster ou das instâncias do Memorystore para Valkey.
  2. Verifique se a versão corresponde às versões corrigidas mais recentes.
  3. Se a versão não for a mais recente, atualize as instâncias ou clusters para a versão de manutenção mais recente usando a manutenção de autoatendimento para Memorystore for Redis, Memorystore for Redis Cluster e Memorystore for Valkey.
 Crítico CVE-2025-49844

GCP-2025-060

Publicado em: 21/10/2025

Descrição

Descrição Gravidade Observações

A Oracle lançou um alerta de segurança (link em inglês) confirmando que o Oracle E-Business Suite (EBS) está vulnerável a um exploit não autenticado.

O que devo fazer?

O Oracle EBS não é usado pelo Google, e o Google Cloud não é afetado por essa vulnerabilidade.

 Baixo CVE-2025-61882

GCP-2025-059

Publicado em: 21/10/2025

Atualizado em: 22/10/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/10/2025:adicionamos um link para a CVE.

Em 23 de setembro de 2025, descobrimos um problema técnico na API Vertex AI que resultou no envio incorreto de uma quantidade limitada de respostas entre destinatários para alguns modelos de terceiros ao usar solicitações de streaming. O problema já foi resolvido. Os modelos do Google, como o Gemini, não foram afetados.

Alguns proxies internos não processaram corretamente solicitações HTTP que têm um cabeçalho Expect: 100-continue, resultando em uma dessincronização em uma conexão de resposta de streaming, em que uma resposta destinada a uma solicitação foi entregue como a resposta para uma solicitação subsequente.

O que devo fazer?

Implementamos correções para resolver adequadamente a presença do cabeçalho Expect: 100-continue e evitar que esse problema aconteça de novo. Também adicionamos testes, monitoramento e alertas para detectar rapidamente uma ocorrência desse problema e evitar regressões. No momento, os clientes não precisam fazer nada para evitar que o comportamento indesejado aconteça.

As correções foram implementadas para diferentes modelos em cronogramas separados. Os modelos da Anthropic foram corrigidos em 26 de setembro às 00:45 PDT, e todas as superfícies foram corrigidas em 28 de setembro às 19:10 PDT. Os modelos afetados na API Vertex AI e o horário da resolução estão listados abaixo:

  • Modelos Partner Model-as-a-Service (Claude) da Anthropic

    • O problema foi corrigido em 26 de setembro de 2025, às 00h45 (Horário do Pacífico).

  • Todos os modelos de serviço de modelo aberto, incluindo: DeepSeek (R1-0528 e V3.1), OpenAI (gpt-oss-120b e gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder e Qwen 3 235B), Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b e 3.1 8b)

    • O problema foi corrigido em 28 de setembro de 2025, às 2h43 PDT.

  • Modelos de parceiros Mistral e AI21 Modelo como serviço

    • O problema foi corrigido em 28 de setembro de 2025, às 11h (horário de verão do Pacífico).

  • Modelos autoimplantados em que o método "StreamRawPredict", "ChatCompletions", "GenerateContent" ou "StreamGenerateContent" foi invocado usando endpoints públicos

    • O problema foi corrigido em 28 de setembro de 2025, às 19h10 (Horário do Pacífico).

    • Nem os endpoints dedicados (padrão no Model Garden) nem os particulares foram afetados.

Médio CVE-2025-11915

GCP-2025-058

Publicado em: 20/10/2025

Descrição

Descrição Gravidade Observações

Foi descoberta uma falha na instrução RDSEED em processadores AMD Zen 5 (Turin). Essa instrução é usada para gerar números aleatórios criptográficos. Em determinadas condições de carga do sistema, as versões de 16 e 32 bits do RDSEED podem falhar silenciosamente, o que pode comprometer aplicativos que dependem da geração de números aleatórios. Os clientes que usam a versão de 64 bits do RDSEED não são afetados.

O que devo fazer?

A AMD está investigando a vulnerabilidade.

É importante observar que o kernel do Linux de 64 bits usa a versão segura de 64 bits da instrução RDSEED, que alimenta os números aleatórios obtidos de /dev/[u]random. Esses números aleatórios não são afetados por essa vulnerabilidade.

Se você tiver um código de aplicativo que sintetize números aleatórios usando a instrução RDSEED, saiba que as versões de 16 e 32 bits da instrução não são seguras. A versão de 64 bits da instrução é segura.

Quais vulnerabilidades estão sendo corrigidas?

Essa vulnerabilidade permite que um invasor faça com que o RDSEED falhe silenciosamente, comprometendo potencialmente a geração de números aleatórios em aplicativos.

Alta

GCP-2025-057

Publicado em: 17/10/2025

Atualizado em:11/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/11/2025 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 27/10/2025:adicionamos versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38618

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38618

GCP-2025-056

Publicado em: 16/10/2025

Atualizado em: 13/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 13/11/2025:adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-39946

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-39946

GCP-2025-055

Publicado em: 15/10/2025

Atualizado em:11/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/11/2025 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 16/10/2025:adicionamos versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38617

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38617

GCP-2025-054

Publicado em: 14/10/2025

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2025-0015, várias vulnerabilidades no VMware Aria Operations e no VMware Tools foram relatadas de modo privado à Broadcom. Patches estão disponíveis para corrigir essas vulnerabilidades nos produtos Broadcom afetados.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Automation 8.18.5 e o VMware Tools 13.0.5.

 Importante

GCP-2025-053

Publicado em: 30/09/2025

Descrição

Descrição Gravidade Observações

O Looker Studio corrigiu vulnerabilidades reportadas por um pesquisador externo no Programa de Recompensa para Descobertas de Vulnerabilidades (VRP) do Google e da Alphabet, mas não encontrou evidências de exploração. Esses problemas já foram resolvidos, e nenhuma ação é necessária.

O que devo fazer?

Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo abordadas?

As vulnerabilidades permitiram o acesso não autorizado a dados por relatórios compartilhados, fontes de dados com credenciais de leitor, API Studio Linking e Conversational Analytics.

 Alta

GCP-2025-052

Publicado em: 30/09/2025

Descrição

Descrição Gravidade Observações

O Looker corrigiu vulnerabilidades reportadas por um pesquisador externo no Programa de Recompensa para Descobertas de Vulnerabilidades (VRP) do Google e da Alphabet, mas não encontrou evidências de exploração. Esses problemas já estão resolvidos, e nenhuma ação é necessária para os usuários de clientes hospedados no Looker (Google Cloud Core) e Looker (original). Recomendamos que instâncias auto-hospedadas do produto sejam atualizadas para a versão com suporte mais recente.

O que devo fazer?

Instâncias hospedadas pelo Looker: instâncias do Looker (Google Cloud Core) e do Looker (original)

Nenhuma ação do cliente é necessária.

Apenas instâncias auto-hospedadas do Looker

Se a instância do Looker for auto-hospedada, recomendamos fazer upgrade para uma das seguintes versões:

  • 25.12.30+
  • 25.10.54+
  • 25.6.79+
  • 25.0.89+
  • 24.18.209+

Observação: as versões 25.14 e mais recentes não são afetadas por esses problemas de segurança.

Quais vulnerabilidades estão sendo abordadas?

As vulnerabilidades permitiram que usuários com permissões de desenvolvedor no Looker acessassem o sistema subjacente que hospeda o Looker e o banco de dados interno dele.

 Alta

GCP-2025-051

Publicado em:11/09/2025

Descrição

Descrição Gravidade Observações

Pesquisadores descobriram uma vulnerabilidade de segurança que afeta CPUs Intel e todas as CPUs AMD Zen. Essa vulnerabilidade permite que um invasor leia dados sensíveis usando vulnerabilidades conhecidas de execução especulativa.

O que devo fazer?

Nenhuma ação é necessária no momento, já que o Google aplicou correções aos recursos afetados, incluindo Google Cloud, para mitigar o problema sem interrupções em toda a frota.

Quais vulnerabilidades estão sendo abordadas?

Para mais informações, consulte a postagem do blog sobre COMSEC (em inglês).

 Alta CVE-2025-40300

GCP-2025-050

Publicado em: 10/09/2025

Atualização : 11/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/11/2025 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 15/10/2025 : adicionamos versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38500

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38500

GCP-2025-049

Publicado em: 10/09/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade crítica foi encontrada nas versões 6.3.54.0 e 6.3.53.2 do SOAR do Google Security Operations. Um usuário autenticado com permissões para fazer upload de arquivos ZIP (por exemplo, ao importar casos de uso) pode enviar um arquivo ZIP capaz de gravar arquivos em locais arbitrários no sistema de arquivos do servidor.

O sistema para extrair arquivos de arquivos ZIP não conseguiu impedir que os arquivos dentro do arquivo fossem gravados fora da pasta de destino pretendida. Isso também é conhecido como vulnerabilidade de travessia de diretório ou Zip Slip.

O que devo fazer?

Nenhuma ação do cliente é necessária. Todos os clientes receberam upgrade automático para a versão corrigida ou mais recente: 6.3.54.1 ou 6.3.53.3

Quais vulnerabilidades estão sendo abordadas?

Um invasor pode explorar essa vulnerabilidade para substituir arquivos de aplicativos. Ao substituir um arquivo JavaScript usado pelo recurso de geração de relatórios, um invasor pode conseguir a execução remota de código (RCE) na instância do Google SecOps SOAR. O invasor pode executar o próprio código no servidor.

Para mais informações, consulte o boletim de segurança do Google SecOps GCP-2025-049.

Alta CVE-2025-9918

GCP-2025-048

Publicado em: 02/09/2025

Descrição

Descrição Gravidade Observações

A seguinte vulnerabilidade foi descoberta no Envoy Proxy:

  • CVE-2025-54588

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

 Alta CVE-2025-54588

GCP-2025-047

Publicado em: 27/08/2025

Atualizado em: 25/09/2025

Descrição

Descrição Gravidade Observações

Atualização de 25/09/2025:adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38350

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38350

GCP-2025-046

Publicado em: 23/08/2025

Atualização : 11/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 11/11/2025 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 15/10/2025 : adicionamos versões de patch e uma classificação de gravidade para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38477

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38477

GCP-2025-045

Publicado em: 21/08/2025

Descrição

Descrição Gravidade Observações

Um pesquisador externo reportou uma vulnerabilidade na API Dataform pelo Programa de Recompensa para Descobertas de Vulnerabilidades (VRP) do Google e da Alphabet. Essa vulnerabilidade pode permitir o acesso não autorizado a repositórios de código e dados de clientes. O Google corrigiu o problema rapidamente e lançou a correção em todas as regiões. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. O Google já aplicou mitigações a todos os produtos e serviços afetados.

Quais vulnerabilidades estão sendo abordadas?

Para mais informações, consulte CVE-2025-9118.

 Crítico CVE-2025-9118

GCP-2025-044

Publicado em: 12/08/2025

Descrição

Descrição Gravidade Observações

A Intel notificou o Google sobre duas novas vulnerabilidades de segurança.

CVE-2025-21090: essa vulnerabilidade afeta os seguintes processadores Intel:

  • Sapphire Rapids: famílias de VMs C3, Z3, H3, A3 e v5p
  • Emerald Rapids: famílias de VMs N4, C4, M4, A3 Ultra e A4
  • Granite Rapids: família de VMs N4 e C4

CVE-2025-22840: essa vulnerabilidade afeta o seguinte processador Intel:

  • Granite Rapids: família de VMs N4 e C4

O que devo fazer?

Nenhuma ação do cliente é necessária para nenhuma das vulnerabilidades. O Google vai atualizar seus sistemas de forma proativa durante as janelas de manutenção padrão e planejadas. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

Quais vulnerabilidades estão sendo abordadas?

A vulnerabilidade CVE-2025-21090 permite que um ator sem privilégios que usa a instrução de CPU AMX, em conjunto com a instrução de CPU AVX, torne a máquina host inoperante.

A vulnerabilidade CVE-2025-22840 permite que um ator sem privilégios use a instrução de CPU prefetchit para carregar conteúdo da memória a que não teria acesso, o que pode levar à execução remota de código.

 Médio

GCP-2025-043

Publicado em: 12/08/2025

Descrição

Descrição Gravidade Observações

Existe uma possível vulnerabilidade de negação de serviço (DoS) na implementação em Python puro de protobuf-python. Um invasor pode causar a falha de um serviço enviando uma mensagem especialmente criada.

Impacto

Você pode ser afetado se importar protobuf-python nos seus projetos, direta ou transitivamente. As bibliotecas de cliente do Cloud para Python usam protobuf-python como uma dependência. Se você usa essas bibliotecas, confira se está usando uma versão do protobuf-python mencionada na seção a seguir.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • protobuf-python (4.25.8, 5.29.5, 6.31.1)

Quais vulnerabilidades são corrigidas por esse patch?

O patch reduz os riscos da seguinte vulnerabilidade:

A vulnerabilidade surge de uma recursão sem limites quando o back-end puro em Python analisa determinadas mensagens de buffers de protocolo. Um invasor não autenticado pode enviar uma mensagem com grupos recursivos, mensagens ou uma série de tags SGROUP profundamente aninhados. Essa entrada faz com que o interpretador Python exceda a profundidade máxima de recursão, acionando um RecursionError que trava o serviço, resultando em uma negação de serviço. Qualquer projeto que analise dados não confiáveis com o back-end afetado está em risco.

Para mais informações, consulte o aviso de segurança do Protobuf.

Alta

CVSS v4.0

Pontuação: 8,2

 CVE-2025-4565

Esse problema afeta apenas o python backend de implementação do Protobuf.

Independente do valor retornado ao verificar o back-end de implementação do Protobuf, é recomendável fazer um upgrade, já que a variável de ambiente PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION pode mudar o back-end de implementação do Protobuf durante a execução.

GCP-2025-042

Publicado em: 11/08/2025

Descrição

Descrição Gravidade Observações

Pesquisadores descobriram uma vulnerabilidade de segurança em CPUs Intel específicas, incluindo aquelas baseadas nas microarquiteturas Skylake, Broadwell e Haswell. Essa vulnerabilidade permite que um invasor leia dados sensíveis diretamente do cache L1 da CPU, que ele não tem autorização para acessar.

Essa vulnerabilidade foi divulgada inicialmente na CVE-2018-3646 em 2018. Ao descobrir essa vulnerabilidade, o Google implementou imediatamente mitigações que abordaram os riscos conhecidos. A comunicação sobre a vulnerabilidade e as correções iniciais foram publicadas na época. Desde então, estamos pesquisando o risco residual e trabalhando com a comunidade upstream do Linux para corrigir esse risco.

Recentemente, trabalhamos com pesquisadores de segurança da academia para avaliar o estado da arte das mitigações de segurança da CPU e possíveis técnicas de ataque não consideradas em 2018.

O Google aplicou correções aos recursos afetados, incluindo Google Cloud, para resolver o problema.

O que devo fazer?

Nenhuma ação do cliente é necessária. As mitigações já foram aplicadas à frota de servidores do Google.

Quais vulnerabilidades estão sendo abordadas?

Para mais informações, consulte o aviso da Intel INTEL-SA-00161 e CVE-2018-3646.

 Alta CVE-2018-3646

GCP-2025-041

Publicado em: 21/07/2025

Atualizado em: 10/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/11/2025:adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Ubuntu:

  • CVE-2025-37890

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-37890

GCP-2025-040

Publicado em: 15/07/2025

Descrição

Descrição Gravidade Observações

De acordo com o aviso VMSA-2025-0013, várias vulnerabilidades no VMware ESXi foram relatadas de forma privada à Broadcom.

Já aplicamos patches nessas vulnerabilidades ou estamos no processo de aplicar os patches necessários fornecidos pela Broadcom. Não há soluções alternativas conhecidas para as vulnerabilidades informadas.

Depois de corrigidas, as implantações do VMware Engine precisam executar o ESXi 7.0U3w, o ESXi 8.0U3f ou versões mais recentes.

O que devo fazer?

O Google recomenda que os clientes monitorem as cargas de trabalho no VMware Engine para detectar atividades incomuns.

 De média a crítica

GCP-2025-039

Publicado em: 15/07/2025

Atualizado em: 10/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/11/2025:adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

Atualização de 28/08/2025:adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38083

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38083

GCP-2025-038

Publicado em: 09/07/2025

Atualizado em: 25/09/2025

Descrição

Descrição Gravidade Observações

Atualização de 25/09/2025:adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-37752

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-37752

GCP-2025-037

Publicado em: 08/07/2025

Descrição Gravidade Observações

A AMD divulgou duas vulnerabilidades que afetam as CPUs AMD EPYC de 2ª geração (Rome), 3ª geração (Milan) e 4ª geração (Genoa). As vulnerabilidades permitem que um invasor infira dados de repositórios anteriores ou do cache L1D, o que pode resultar no vazamento de informações sensíveis.

O Google lançou uma mitigação que impede esse vazamento de informações entre VMs.

Ainda existe a possibilidade de que processos em uma VM individual explorem essas vulnerabilidades.

O que devo fazer?

Depois de 8 de julho de 2025, uma mitigação no nível do convidado que protege contra ataques entre os convidados estará disponível para as seguintes VMs:

  • VMs iniciadas pela primeira vez.
  • VMs que foram totalmente interrompidas e reiniciadas. Reinicializar o sistema operacional não ativa a mitigação. A VM precisa ser totalmente reiniciada para que isso aconteça. Para que a mitigação seja eficaz, os kernels do sistema operacional convidado precisam dar suporte a ela.

Para mais informações, consulte o boletim de segurança AMD-SB-7029 da AMD.

Média

GCP-2025-036

Publicado em: 01/07/2025

Atualizado em: 10/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/11/2025:adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

Atualização de 21/07/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38001

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38001

GCP-2025-035

Publicado em: 17/06/2025

Atualizado em: 10/11/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/11/2025:adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

Atualização de 21/07/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-37997

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-37997

GCP-2025-034

Publicado em: 17/06/2025

Atualizado em: 21/07/2025

Descrição

Descrição Gravidade Observações

Atualização de 21/07/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-38000

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-38000

GCP-2025-033

Publicado em: 06/06/2025

Descrição

Descrição Gravidade Observações

Foi descoberto um problema de segurança em que invasores podem ignorar as restrições de isolamento de carga de trabalho em clusters do GKE.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média N/A

GCP-2025-032

Publicado em: 03/06/2025

Atualizado em: 21/07/2025

Descrição

Descrição Gravidade Observações

Atualização de 21/07/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-37798

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-37798

GCP-2025-031

Publicado em: 03/06/2025

Atualizado em: 26/08/2025

Descrição

Descrição Gravidade Observações

Atualização de 26/08/2025:adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-37797

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-37797

GCP-2025-030

Publicado em: 23/05/2025

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2024-0017, uma vulnerabilidade de injeção de SQL no VMware Aria Automation foi relatada de modo privado ao VMware. Para corrigir essa vulnerabilidade nos produtos VMware afetados, patches estão disponíveis.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Automation KB325790.

Importante

GCP-2025-029

Publicado em: 23/05/2025

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2025-0006, uma vulnerabilidade de escalonamento de privilégios local no VMware Aria Operations foi relatada ao VMware de forma responsável. Para corrigir essa vulnerabilidade nos produtos VMware afetados, patches estão disponíveis.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Operations 8.18 HF5.

Importante

GCP-2025-028

Publicado em: 23/05/2025

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2025-0003, várias vulnerabilidades no VMware Aria Operations for Logs e no VMware Aria Operations foram relatadas de modo privado ao VMware. Para corrigir essa vulnerabilidade nos produtos VMware afetados, patches estão disponíveis.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Operations for Logs 8.18.3 e VMware Aria Operations 8.18.3.

Importante

GCP-2025-027

Publicado em: 16/05/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança foi detectada no serviço de balanceador de carga de aplicativo clássico antes de 26 de abril de 2025.

O que devo fazer?

Nenhuma ação do cliente é necessária. O problema foi resolvido no serviço de balanceador de carga de aplicativo clássico em 26 de abril de 2025.

Quais vulnerabilidades estão sendo abordadas?

A CVE-2025-4600 permitia que invasores roubassem solicitações para balanceadores de carga de aplicativo clássicos devido à análise incorreta de fragmentos grandes. Ao analisar o corpo da solicitação de uma solicitação HTTP usando codificação de transferência fragmentada, o balanceador de carga de aplicativo clássico permite fragmentos grandes demais. Consequentemente, foi possível ocultar bytes nesses dados de uso ignorados que um servidor HTTP upstream poderia interpretar incorretamente como um terminador de linha. Essa vulnerabilidade foi resolvida no balanceador de carga de aplicativo clássico em 26 de abril de 2025 com a melhoria da validação de entrada e da lógica de análise.

Estamos aqui para ajudar

Se você tiver dúvidas ou precisar de ajuda, entre em contato com o Cloud Customer Care.

 Alta CVE-2025-4600

GCP-2025-026

Publicado em: 15/05/2025

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2025-0008, uma vulnerabilidade de scripting em vários sites (XSS, na sigla em inglês) baseada em DOM no VMware Aria Automation foi relatada de modo privado ao VMware. Para corrigir essa vulnerabilidade nos produtos VMware afetados, patches estão disponíveis.

O que devo fazer?

Recomendamos fazer upgrade para o patch 2 do VMware Aria Automation 8.18.1.

Importante

GCP-2025-025

Publicado em: 13/05/2025

Descrição

Descrição Gravidade Observações

A Intel notificou o Google sobre uma nova vulnerabilidade de canal lateral que afeta os seguintes processadores Intel: CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids e Emerald Rapids.

O Google corrigiu os recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. As correções já foram aplicadas à frota de servidores do Google para proteger os clientes.

Quais vulnerabilidades estão sendo abordadas?

CVE-2024-45332. Para mais informações, consulte o aviso da Intel INTEL-SA-01247.

Estamos aqui para ajudar

Se tiver dúvidas ou precisar de ajuda, entre em contato com o Cloud Customer Care e informe o número de referência 417536835.

 Alta CVE-2024-45332

GCP-2025-024

Publicado em: 12/05/2025

Atualizado em: 13/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 13/05/2025: se você tiver dúvidas ou precisar de ajuda, entre em contato com o Cloud Customer Care e informe o número de referência 417458390.

A Intel notificou o Google sobre uma nova vulnerabilidade de execução especulativa que afeta os processadores Intel Cascade Lake e Intel Ice Lake.

O Google corrigiu os recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. As mitigações já foram aplicadas à frota de servidores do Google.

Outras mitigações dos fabricantes de equipamentos originais (OEMs, na sigla em inglês) da Intel e outros parceiros de sistemas operacionais serão implantadas assim que estiverem disponíveis para mitigar a vulnerabilidade de seleção de destino indireta (ITS, na sigla em inglês) de mesmo modo.

Depois que as mitigações do sistema operacional forem aplicadas, os clientes com VMs de terceira geração ou mais recentes de longa duração poderão sofrer uma degradação de desempenho não intencional.

Quais vulnerabilidades estão sendo abordadas?

CVE-2024-28956. Para mais informações, consulte Aviso de segurança da Intel INTEL-SA-01153.

 Alta CVE-2024-28956

GCP-2025-023

Publicado em: 05/05/2025

Descrição

Descrição Gravidade Observações

Foram descobertas e resolvidas possíveis falhas de segurança nas políticas JavaCallout e PythonScript que poderiam ser exploradas se não fossem sanadas.

Para instruções e mais detalhes, consulte o boletim de segurança da Apigee.

Alta CVE-2023-44487

GCP-2025-022

Publicado em: 01/05/2025

Atualizado em: 22/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-21702

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21702

GCP-2025-021

Publicado em: 29/04/2025

Atualizado em: 02/06/2025

Descrição

Descrição Gravidade Observações

Atualização de 02/06/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-21971

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21971

GCP-2025-020

Publicado em: 29/04/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade no Looker permitiu que usuários com permissões de administrador no Looker (especificamente: manage_project_connections_restricted) lessem arquivos do sistema de arquivos do host e consultassem endpoints de rede internos. Esse problema já foi resolvido, e nenhuma ação do usuário é necessária para clientes hospedados no Looker (Google Cloud Core e original). Recomendamos que instâncias auto-hospedadas do produto sejam atualizadas para a versão com suporte mais recente.

Essa vulnerabilidade foi corrigida em todas as versões com suporte do Looker hospedado pelo cliente, que estão disponíveis na página de download do Looker.

O que devo fazer?

  • Nenhuma ação é necessária para todas as instâncias hospedadas pelo Looker, incluindo as do Looker (Google Cloud Core) e do Looker (original).
  • No caso de instâncias hospedadas pelo cliente no Looker, atualize para a versão mais recente com suporte assim que possível. As versões abaixo foram atualizadas para evitar esse tipo de problema. Faça download dessas versões na página de download do Looker:
    • 25.4 -> 25.4.29+
    • 25.2 -> 25.2.34+
    • 25.0 -> 25.0.55+
    • 24.18 -> 24.18.185+
    • 24.12 -> 24.12.95+
    • 24.6 -> 24.6.107+
 Alta

GCP-2025-019

Publicado em: 25/04/2025

Atualizado em: 26/06/2025

Descrição

Descrição Gravidade Observações

Atualização de 26/06/2025: adicionamos versões de patch para o software da GDC para VMware.

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2025-21701

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21701

GCP-2025-018

Publicado em: 23/04/2025

Atualizado em: 09/10/2025

Descrição

Descrição Gravidade Observações

Atualização de 09/10/2025:adicionamos versões de patch para nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2025-40364

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-40364

GCP-2025-017

Publicado em: 17/04/2025

Atualizado em: 22/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 05/05/2025: adicionamos versões de patch para o software da GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-21756

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21756

GCP-2025-016

Publicado em: 16/04/2025

Atualizado em: 22/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 29/04/2025: adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2023-52927

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-52927

GCP-2025-015

Publicado em: 15/04/2025

Atualizado em: 22/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 17/04/2025: adicionamos versões de patch para o GDC (VMware). Atualizamos a gravidade do GDC (VMware) de "Pendente" para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-21700

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21700

GCP-2025-014

Publicado em: 10/04/2025

Atualizado em: 22/05/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 05/05/2025: adicionamos versões de patch para o software da GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2025-21703

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2025-21703

GCP-2025-013

Publicado em: 24/03/2025

Descrição

Descrição Gravidade Observações

Vários problemas de segurança foram descobertos no NGINX Ingress Controller, ingress-nginx, um componente de software de código aberto que é executado em clusters do Kubernetes para ajudar a gerenciar o tráfego de rede que entra no cluster. O problema mais crítico é o CVE-2025-1974. Para conferir todos os detalhes e uma lista completa, consulte o feed de CVEs do Kubernetes.

Esses problemas afetam ingress-nginx. Se o ingress-nginx não está instalado no cluster, esse problema não afeta você.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhuma CVE-2025-1974

GCP-2025-012

Publicado em: 19/03/2025

Atualizado em: 10/04/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/04/2025: adicionamos versões de patch para nós do Ubuntu no GKE e software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-53164

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-53164

GCP-2025-011

Publicado em: 06/03/2025

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades no VMSA-2025-0004 que afetam os componentes do ESXi implantados nos ambientes dos clientes.

Impacto no VMware Engine

Suas nuvens privadas já receberam patches ou estão em processo de atualização para resolver a vulnerabilidade de segurança. Como parte do serviço do VMware Engine, todos os clientes recebem hosts de bare metal dedicados com discos anexados locais que estão fisicamente isolados de outro hardware. Isso significa que a vulnerabilidade está limitada às VMs convidadas na sua nuvem privada específica.

Suas nuvens privadas serão atualizadas para a versão 7.0u3s, número 24534642. Isso é equivalente a 7.0U3s, número de versão 24585291.

O que devo fazer?

Siga as instruções da Broadcom e dos seus fornecedores de segurança sobre essa vulnerabilidade.

Crítica

GCP-2025-010

Publicado em: 05/03/2025

Atualizado em: 02/06/2025

Descrição

Descrição Gravidade Observações

Atualização de 02/06/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 10/04/2025: adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-56770

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-56770

GCP-2025-009

Publicado em: 05/03/2025

Descrição

Descrição Gravidade Observações

O projeto Envoy anunciou recentemente várias novas vulnerabilidades de segurança (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) que podem permitir que um invasor cause uma falha no Envoy.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP-2025-008

Publicado em: 19/02/2025

Atualizado em: 10/04/2025

Descrição

Descrição Gravidade Observações

Atualização de 10/04/2025: adicionamos versões de patch para o software GDC para VMware. Atualizamos a gravidade no software GDC para VMware para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-53141

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-53141

GCP-2025-007

Publicado: 03/02/2025

Descrição

Descrição Gravidade Observações

O Google descobriu uma vulnerabilidade em CPUs AMD baseadas em Zen que afeta instâncias de VMs confidenciais com AMD SEV-SNP ativado. Essa vulnerabilidade permite que invasores com acesso raiz a uma máquina física comprometam a confidencialidade e a integridade da instância da VM confidencial.

O Google corrigiu os recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. Os clientes que quiserem verificar a correção podem conferir a versão da base de computação confiável (TCB, na sigla em inglês) no relatório de atestação da instância de VM confidencial com AMD SEV-SNP. As versões mínimas que mitigam essa vulnerabilidade são as seguintes:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Para mais informações, consulte o boletim de segurança da AMD AMD-SB-3019.

 Alta

CVE-2024-56161

GCP-2025-006

Publicado em: 23/01/2025

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade no provedor do Google Secret Manager para driver CSI do Secret Store permite que um invasor com permissões de criação de pod e secret em um namespace exfiltre o token da conta de serviço do Kubernetes do driver CSI instalando um volume malicioso em um pod.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média

GCP-2025-005

Publicado em: 22/01/2025

Descrição

Descrição Gravidade Observações

Servidores que usam bibliotecas de autenticação do Google e bibliotecas de cliente do Cloud para se autenticar no Google Cloud com uma configuração de credenciais controlada por um invasor podem estar sujeitos a falsificação de solicitação do lado do servidor e leituras arbitrárias de arquivos.

O que devo fazer?

Se você aceitar uma configuração de credencial (JSON, arquivo ou fluxo) de uma fonte externa para autenticação no Google Cloud, valide-a antes de fornecê-la às bibliotecas de autenticação do Google ou às bibliotecas de cliente do Cloud. Fornecer uma configuração de credencial não validada para bibliotecas do Google pode comprometer a segurança dos seus sistemas e dados. Para mais informações, consulte Validar configurações de credenciais de fontes externas.

Quais vulnerabilidades estão sendo abordadas?

Alguns tipos de configurações de credenciais incluem endpoints e caminhos de arquivos, que as bibliotecas de autenticação usam para adquirir um token. Quando um serviço ou aplicativo aceita configurações de credenciais de origem externa e as usa com bibliotecas de autenticação do Google ou bibliotecas de cliente do Cloud sem validação, um invasor pode fornecer uma configuração de credencial que contenha um endpoint ou caminho malicioso. Isso permite que o invasor exfiltre dados ou tokens do serviço ou da máquina em que ele está sendo executado. Para evitar esse cenário, as validações precisam ser realizadas na configuração de credenciais de origem externa, conforme descrito em Validar configurações de credenciais de fontes externas.

Para informar os desenvolvedores de aplicativos, atualizamos a documentação com as validações que devem ser realizadas ao aceitar configurações de credenciais de fontes externas.

Alta

GCP-2025-004

Publicado em: 16/01/2025

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2025-0001, uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) no VMware Aria Automation foi relatada ao VMware de forma responsável. Para corrigir essa vulnerabilidade nos produtos VMware afetados, patches estão disponíveis.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Automation 8.18.2 HF.

Média

GCP-2025-003

Publicado em: 09/01/2025

Atualizado em: 23/01/2025

Descrição

Descrição Gravidade Observações

Atualização de 23/01/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-50264

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-50264

GCP-2025-002

Publicado em: 09/01/2025

Atualizado em: 23/01/2025

Descrição

Descrição Gravidade Observações

Atualização de 23/01/2025: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 22/01/2025: foram adicionadas versões de patch para o GDC (VMware). Gravidade atualizada para "Média" no GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-53057

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-53057

GCP-2025-001

Publicado em: 08/01/2025

Atualizado em: 23/01/2025

Descrição

Descrição Gravidade Observações

Atualização de 23/01/2025: atualizamos a seção Recursos afetados na guia GKE.

Atualização de 08/01/2025: corrigimos a data e a hora de início do problema.

Um problema de segurança afetou os recursos em VPCs com o Gateway de Múltiplos Clusters (MCG, na sigla em inglês) do GKE configurado. O MCG é um recurso opcional usado por um pequeno subconjunto de clientes do GKE. Estamos notificando individualmente os clientes que tinham o recurso ativado durante aquele período.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta Nenhuma

GCP-2024-065

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-53269: Happy Eyeballs: valida que additional_address são endereços IP em vez de apresentar uma falha na classificação.
  • CVE-2024-53270: HTTP/1: o envio de sobrecarga falha quando a solicitação é redefinida antes.
  • CVE-2024-53271: vários problemas do HTTP/1.1 com envoy.reloadable_features.http1_balsa_delay_reset.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-064

Publicado em: 10/12/2024

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2024-0022, várias vulnerabilidades no VMware Aria Operations foram relatadas ao VMware de forma responsável. Há atualizações disponíveis para corrigir essas vulnerabilidades no produto VMware afetado.

O que devo fazer?

Recomendamos fazer upgrade para o VMware Aria Operations 8.18.2.

Importante

GCP-2024-063

Publicado em: 06/12/2024

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta na API Vertex AI que atende solicitações do Gemini multimodal, permitindo ignorar VPC Service Controls. Um invasor pode usar o parâmetro fileURI da API para exfiltrar dados.

O que devo fazer?

Nenhuma ação é necessária. Implementamos uma correção para retornar uma mensagem de erro quando um URL de arquivo de mídia é especificado no parâmetro fileUri e o VPC Service Controls está ativado. Outros casos de uso não são afetados.

Quais vulnerabilidades estão sendo abordadas?

A API Cloud Support que atende solicitações do Gemini multimodal permite incluir arquivos de mídia especificando o URL deles no parâmetro fileUri. Essa capacidade pode ser usada para ignorar perímetros do VPC Service Controls. Um invasor dentro do perímetro de serviço pode codificar dados sensíveis no parâmetro fileURI para burlar o perímetro de serviço.

Média CVE-2024-12236

GCP-2024-062

Publicado em: 02/12/2024

Atualizado em: 22/01/2025

Descrição

Descrição Gravidade Observações

Atualização de 22/01/2025: foram adicionadas versões de patch para o GDC (VMware). Atualizamos a gravidade do GDC (VMware) de "Pendente" para "Alta".

Atualização de 12/12/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-46800

GCP-2024-061

Publicado em: 25/11/2024

Descrição

Descrição Gravidade Observações

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório git for criado de maneira maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-10220

GCP-2024-060

Publicado em: 17/10/2024

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2024-0020, várias vulnerabilidades no VMware NSX foram relatadas de forma responsável ao VMware.

A versão do NSX-T em execução no seu ambiente do VMware Engine não é afetada pelas CVEs 2024-38815, 2024-38818 ou 2024-38817.

O que devo fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Média

GCP-2024-059

Publicado em: 16/10/2024

Descrição Gravidade Observações

De acordo com o aviso de segurança da VMware VMSA-2024-0021, uma vulnerabilidade de injeção de SQL autenticada no VMware HCX foi relatada de modo privado ao VMware.

Para resolvê-la, aplicamos a mitigação aprovada pelo VMware. Essa correção aborda uma vulnerabilidade de segurança descrita em CVE-2024-38814. As versões de imagem em execução na nuvem privada do VMware Engine não refletem alterações no momento para indicar as mudanças aplicadas. As mitigações adequadas foram instaladas, e seu ambiente está protegido contra essa vulnerabilidade.

O que devo fazer?

Recomendamos fazer upgrade para a versão 4.9.2 do VMware HCX.

Alta

GCP-2024-058

Publicado em: 16/10/2024

Descrição

Descrição Gravidade Observações

O Migrate to Containers para Windows, versões 1.1.0 a 1.2.2, criou um m2cuser local com privilégios de administrador. Isso representava um risco de segurança caso os comandos analyze ou generate fossem interrompidos pelo usuário ou por um erro interno, fazendo com que a exclusão do usuário local m2cuser fosse ignorada.

O que devo fazer?

O código das seguintes versões da CLI Migrate to Containers para Windows foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade manual da CLI do Migrate to Containers para a seguinte versão ou mais recente:

Quais vulnerabilidades estão sendo abordadas?

Usando o usuário administrador local, criado pelo software Migrate to Containers, a vulnerabilidade CVE-2024-9858 permite que um invasor tenha acesso de administrador a máquinas Windows afetadas.

 Média CVE-2024-9858

GCP-2024-057

Publicado em: 03/10/2024

Atualizado em: 19/11/2024

Descrição

Descrição Gravidade Observações

Atualização de 19/11/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 15/10/2024: foram adicionadas versões de patch para o GDC (VMware). Os níveis de gravidade do GKE e do GDC (VMware) foram atualizados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média CVE-2024-45016

GCP-2024-056

Publicado em: 27/09/2024

Descrição

Descrição Gravidade Observações

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor poderá explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhuma

GCP-2024-055

Publicado em: 24/09/2024

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de tráfego de solicitações HTTP no Looker permitiu que um invasor não autorizado capturasse respostas HTTP destinadas a usuários legítimos.

Há duas versões do Looker hospedadas:

  • O Looker (Google Cloud Core) foi considerado vulnerável. O problema já foi resolvido, e nossa investigação não encontrou sinais de exploração.
  • O Looker (original) não estava vulnerável a esse problema.

As instâncias do Looker hospedadas pelo cliente foram consideradas vulneráveis e precisam ser atualizadas para uma das versões abaixo.

Essa vulnerabilidade foi corrigida em todas as versões com suporte do Looker hospedado pelo cliente, que estão disponíveis na página de download do Looker.

O que devo fazer?

  • Nenhuma ação é necessária em todas as instâncias hospedadas pelo Looker, incluindo as do Looker (Google Cloud Core).
  • No caso de instâncias hospedadas pelo cliente no Looker, atualize para a versão mais recente com suporte assim que possível. As versões abaixo foram atualizadas para evitar esse tipo de problema. Faça download dessas versões na página de download do Looker:
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92+
    • 24.6 -> 24.6.77+
    • 24.8 -> 24.8.66+
    • 24.10 -> 24.10.78+
    • 24.12 -> 24.12.56+
    • 24.14 -> 24.14.37+

Quais vulnerabilidades estão sendo abordadas?

A vulnerabilidade CVE-2024-8912 permite que um invasor envie cabeçalhos de solicitação HTTP criados para o Looker, o que pode resultar na interceptação de respostas HTTP destinadas a outros usuários.

Essas respostas podem conter informações sensíveis.

Essa vulnerabilidade só pode ser explorada em determinadas configurações específicas.

Média CVE-2024-8912

GCP-2024-054

Publicado em: 23/09/2024

Descrição

Descrição Gravidade Observações

Foi descoberto um problema de segurança em clusters do Kubernetes com os nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e NT AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média CVE-2024-5321

GCP-2024-053

Publicado em: 19/09/2024

Descrição

Descrição Gravidade Observações

Ao analisar campos desconhecidos nas bibliotecas Protobuf Java Full e Lite, uma mensagem criada de forma maliciosa pode causar um erro StackOverflow e levar a uma falha no programa.

O que devo fazer?

Estamos trabalhando para resolver esse problema e lançamos uma mitigação que já está disponível. Recomendamos que você use as versões mais recentes dos seguintes pacotes de software:

  • protobuf-java (3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
  • com-protobuf [somente gem JRuby] (3.25.5, 4.27.5, 4.28.2)

Quais vulnerabilidades são corrigidas por esse patch?

Essa vulnerabilidade é uma possível negação de serviço.

Analisar grupos aninhados como campos desconhecidos com o analisador DiscardUnknownFieldsParser ou Java Protobuf Lite, ou em relação a campos de mapa do Protobuf, cria recursões ilimitadas que podem ser usadas indevidamente por um invasor.

Pontuação do CVSS4.0: 8,7

Alta

 CVE-2024-7254

GCP-2024-052

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-45807: falha do oghttp2 em OnBeginHeadersForStream
  • CVE-2024-45808: injeção de registros maliciosos por registros de acesso
  • CVE-2024-45806: potencial para manipular cabeçalhos "x-envoy" de fontes externas
  • CVE-2024-45809: falha do filtro JWT ao limpar o cache de rotas com JWKs remotos
  • CVE-2024-45810: o Envoy falha em LocalReply no cliente assíncrono http

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Média a alta

GCP-2024-051

Publicado em: 18/09/2024

Descrição Gravidade Observações

O VMware divulgou várias vulnerabilidades na VMSA-2024-0019 que afetam os componentes do vCenter implantados nos ambientes dos clientes.

Impacto no VMware Engine

  • O Google já desativou qualquer possível exploit dessa vulnerabilidade. Por exemplo, bloqueou as portas em que essa vulnerabilidade poderia ser explorada.
  • Além disso, o Google garante que todas as implantações futuras do vCenter não estão expostas a essa vulnerabilidade.

O que devo fazer?

Nenhuma ação é necessária no momento.

Crítica

GCP-2024-050

Publicado em: 04/09/2024

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhuma CVE-2024-38063

GCP-2024-049

Publicado em: 21/08/2024

Atualizado em: 01/11/2024

Descrição

Descrição Gravidade Observações

Atualização de 01/11/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024: foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-36978

GCP-2024-048

Publicado em: 20/08/2024

Atualizado em: 30/10/2024

Descrição

Descrição Gravidade Observações

Atualização de 30/10/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 25/10/2024: foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-41009

GCP-2024-047

Publicado em: 19/08/2024

Atualizado em: 30/10/2024

Descrição

Descrição Gravidade Observações

Atualização de 30/10/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024: foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-39503

GCP-2024-046

Publicado em: 05/08/2024

Descrição

Descrição Gravidade Observações

A AMD notificou o Google sobre três novas vulnerabilidades de firmware (duas de risco médio e uma de risco alto) que afetam o SEV-SNP nas CPUs AMD EPYC de terceira geração (Milan) e quarta geração (Genoa).

O Google corrigiu os recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. As correções já foram aplicadas à frota de servidores do Google.

Para mais informações, consulte o boletim de segurança da AMD AMD-SN-3011.

 Média para alta

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Publicado em: 17/07/2024

Atualizado em: 19/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 19/09/2024: adicionamos versões de patch para o software GDC para VMware.

Atualização de 21/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26925

GCP-2024-044

Publicado em: 16/07/2024

Atualizado em: 30/10/2024

Descrição

Descrição Gravidade Observações

Atualização de 30/10/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024: foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-36972

GCP-2024-043

Publicado em: 16/07/2024

Atualizado em: 02/10/2024

Descrição

Descrição Gravidade Observações

Atualização de 02/10/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 20/09/2024: adicionamos versões de patch para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26921

GCP-2024-042

Publicado em: 15/07/2024

Atualizado em: 18/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 18/07/2024: esclarecemos que os clusters do Autopilot na configuração padrão não são afetados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26809

GCP-2024-041

Publicado em: 08/07/2024

Atualizado em: 16/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 16/09/2024: adicionamos versões de patch para o software GDC para VMware.

Atualização de 19/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP-2024-040

Publicado em: 01/07/2024

Atualizado em: 16/07/2024

Descrição

Descrição Gravidade Observações

Atualizações de 16/07/2024:

Alguns clientes do acesso VPC sem servidor podem ser afetados por uma vulnerabilidade no OpenSSH (CVE-2024-6387). Em caso de exploit bem-sucedido, ela pode permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino. Uma exploração é considerada difícil. Por exemplo, os clientes não podem acessar as VMs, e elas não têm IPs públicos. Não estamos cientes de tentativas de exploração.

O que devo fazer?

As implantações do acesso VPC sem servidor são atualizadas automaticamente pelo Google sempre que possível. No entanto, verifique se o agente de serviço gerenciado pelo Google tem o papel necessário. Caso contrário, o conector de acesso VPC sem servidor ainda poderá estar vulnerável. Recomendamos que você migre para a saída direta de VPC ou implante um novo conector e exclua o antigo para garantir que tenha a atualização necessária com a correção.

Atualização de 11/07/2024: adição de versões de patch para o software GDC para VMware, GKE na AWS e GKE no Azure. Para mais detalhes, consulte os seguintes boletins na documentação do GKE:

Atualização de 10/07/2024:

  • Adicionamos um boletim de segurança para o Migrate to Virtual Machines.

Atualizações de 09/07/2024:

Alguns clientes do ambiente flexível do App Engine podem ser afetados por uma vulnerabilidade no OpenSSH (CVE-2024-6387). Em caso de exploit bem-sucedido, ela pode permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino.

O que devo fazer?

O Google já atualizou de modo automático as implantações do ambiente flexível quando possível. No entanto, alguns clientes que desativaram o agente de serviço gerenciado pelo Google, ou fizeram mudanças nas APIs do Google Cloud ou em outras configurações padrão, não foram atualizados e ainda podem estar vulneráveis. Implante uma nova versão do app para receber a atualização com a correção.

As implantações atualizadas vão informar a versão ssh OpenSSH_9.6p1. Essa versão recebeu um patch com uma correção para a CVE-2024-6387.

Quais vulnerabilidades estão sendo abordadas?

A vulnerabilidade CVE-2024-6387, que permite que um invasor remoto e não autenticado execute um código arbitrário como raiz na máquina invadida.

Atualizações de 08/07/2024:

Os clusters do Dataproc no Google Compute Engine que executam a versão de imagem 2.2 (todos os sistemas operacionais) e 2.1 (somente Debian) foram afetados por uma vulnerabilidade no OpenSSH (CVE-2024-6387). Em caso de exploit bem-sucedido, ela pode permitir que um invasor remoto não autenticado execute código arbitrário como raiz na máquina de destino.

As versões de imagem 2.0 e 1.5 do Dataproc no Google Compute Engine, bem como a versão de imagem 2.1 do Dataproc que não é executada no Debian, não são afetadas. Os clusters do Dataproc com a autenticação pessoal ativada não são afetados. O Dataproc sem servidor também não é afetado.

O que devo fazer?

Atualize seus clusters do Dataproc no Google Compute Engine para uma das seguintes versões:

  • 2.2.24 ou mais recente
  • 2.1.58 ou mais recente

Se não for possível atualizar seus clusters do Dataproc para uma das versões acima, recomendamos usar a ação de inicialização disponível neste local: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Siga estas instruções para especificar ações de inicialização para o Dataproc. A ação de inicialização precisa ser executada em todos os nós (mestres e workers) para clusters preexistentes.

Atualizações de 03/07/2024:

  • Adicionamos versões de patch para o GKE.
  • Adicionamos um boletim de segurança para o GDC conectado.

Atualizações de 02/07/2024:

  • Foi esclarecido que os clusters do Autopilot são afetados e vão exigir ação do usuário.
  • Adição de avaliações de impacto e etapas de mitigação para o software GDC para VMware, o GKE na AWS e o GKE no Azure.
  • Correção do boletim de segurança do software GDC para bare metal para esclarecer que o software GDC para bare metal não é diretamente afetado e que os clientes precisam verificar com os fornecedores do SO se há patches.

Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de exploração.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Crítica CVE-2024-6387

GCP-2024-039

Publicado em: 28/06/2024

Atualizado em: 25/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 25/09/2024: adicionamos versões de patch para o software GDC para VMware.

Atualização de 20/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26923

GCP-2024-038

Publicado em: 26/06/2024

Atualizado em: 17/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 17/09/2024: adicionamos versões de patch para o software GDC para VMware.

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26924

GCP-2024-037

Publicado em: 18/06/2024

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades na VMSA-2024-0012 que afetam os componentes do vCenter implantados nos ambientes dos clientes.

Impacto no Google Cloud VMware Engine

  • A vulnerabilidade pode ser explorada com acesso a portas específicas no vCenter Server. O Google já bloqueou as portas vulneráveis no vCenter Server, o que impede qualquer possível exploit dessa vulnerabilidade.
  • Além disso, o Google garante que todas as implantações futuras do vCenter não estão expostas a essa vulnerabilidade.

O que devo fazer?

Nenhuma ação é necessária no momento.

Crítica

GCP-2024-036

Publicado em: 18/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26584

GCP-2024-035

Publicado em: 12/06/2024

Atualizado em: 18/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE e adicionamos uma versão de patch para a versão 1.27 em pools de nós do Container-Optimized OS.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26584

GCP-2024-034

Publicado em: 11/06/2024

Atualizado em: 10/06/2024

Descrição

Descrição Gravidade Observações

Atualização de 10/07/2024: foram adicionadas versões de patch para nós do Container-Optimized OS que executam as versões secundária 1.26 e 1.27 e versões de patch para nós do Ubuntu.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26583

GCP-2024-033

Publicado em: 10/06/2024

Atualizado em: 26/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 26/09/2024: adicionamos versões de patch para o software GDC para VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2022-23222

GCP-2024-032

Publicado em: 04/06/2024

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-23326: o Envoy aceita incorretamente a resposta HTTP 200 para entrar no modo de upgrade.
  • CVE-2024-32974: falha em EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: falha em QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: loop infinito ao descompactar dados do Brotli com entrada extra.
  • CVE-2024-34362: falha (de uso após a liberação ou "use-after-free") em EnvoyQuicServerStream.
  • CVE-2024-34363: falha devido a uma exceção JSON nlohmann não detectada.
  • CVE-2024-34364: vetor OOM do Envoy do cliente assíncrono HTTP com buffer de resposta ilimitado para resposta espelhadas.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-031

Publicado em: 24/05/2024

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE, o GKE no VMware, o GKE na AWS, o GKE no Azure e o GKE em Bare Metal não usam uma versão vulnerável do Fluent Bit e não foram afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhuma CVE-2024-4323

GCP-2024-030

Publicado em: 15/05/2024

Atualizado em: 18/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-52620

GCP-2024-029

Publicado em: 14/05/2024

Atualizado em: 19/08/2024

Descrição

Descrição Gravidade Observações

Atualização de 19/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26642

GCP-2024-028

Publicado em: 13/05/2024

Atualizado em: 22/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2024: adicionamos versões de patch para o Ubuntu

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26581

GCP-2024-027

Publicado em: 08/05/2024

Atualizado em: 25/09/2024

Descrição

Descrição Gravidade Observações

Atualização de 25/09/2024: adicionamos versões de patch para o software GDC para VMware.

Atualização de 15/05/2024: adicionamos versões de patch para os pools de nós do GKE para Ubuntu.

Atualização de 09/05/2024: corrigimos a gravidade de Média para Alta e esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26808

GCP-2024-026

Publicado em: 07/05/2024

Atualizado em: 06/08/2024

Descrição

Descrição Gravidade Observações

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 09/05/2024: a gravidade foi corrigida de média para alta.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26643

GCP-2024-025

Publicado em: 26/04/2024

Descrição

Descrição Gravidade Observações

O Looker corrigiu vulnerabilidades reportadas por um pesquisador externo no Programa de Recompensa para Descobertas de Vulnerabilidades (VRP) do Google e da Alphabet, mas não encontrou evidências de exploração. Esses problemas já estão resolvidos, e nenhuma ação é necessária para os usuários de clientes hospedados no Looker (Google Cloud Core) e Looker (original). Recomendamos que instâncias auto-hospedadas do produto sejam atualizadas para a versão com suporte mais recente.

O que devo fazer?

Instâncias hospedadas pelo Looker: instâncias do Looker (Google Cloud Core) e do Looker (original)

Nenhuma ação do cliente é necessária.

Apenas instâncias auto-hospedadas do Looker

Se a instância do Looker for auto-hospedada, recomendamos fazer upgrade para uma das seguintes versões:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Como o problema foi corrigido?

O Google desativou o acesso administrativo direto no aplicativo do Looker ao banco de dados interno, removeu privilégios elevados que permitiam o acesso entre locatários e trocou os secrets expostos. Além disso, corrigimos vulnerabilidades de travessia de caminhos que poderiam expor as credenciais de contas de serviço. Também estamos conduzindo uma análise completa do nosso código e sistemas para identificar e resolver possíveis vulnerabilidades semelhantes.

 Crítica

GCP-2024-024

Publicado em: 25/04/2024

Atualizado em: 18/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26585

GCP-2024-023

Publicado em: 24/04/2024

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-27919: HTTP/2: esgotamento da memória devido a um excesso de frames CONTINUATION.
  • CVE-2024-30255: HTTP/2: esgotamento da CPU devido ao excesso de frames CONTINUATION
  • CVE-2024-32475: encerramento anormal ao usar "auto_sni" com um cabeçalho ":authority" maior que 255 caracteres.
  • CVE-2023-45288: HTTP/2: os frames CONTINUATION podem ser usados para ataques DoS.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-022

Publicado em: 03/04/2024

Atualizado em: 17/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 17/07/2024: adicionamos versões de patch para o GKE no VMware

Atualização de 09/07/2024: adicionamos versões de patch para o GKE em Bare Metal

Atualização de 24/04/2024: adicionamos versões de patch para o GKE.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque DoS no plano de controle do Google Kubernetes Engine (GKE).

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-45288

GCP-2024-021

Publicado em: 03/04/2024

Descrição

Descrição Gravidade Observações

O Compute Engine não é afetado pela CVE-2024-3094, que impacta as versões 5.6.0 e 5.6.1 do pacote xz-utils na biblioteca liblzma e pode comprometer o utilitário OpenSSH.

Para mais detalhes, consulte o boletim de segurança do Compute Engine.

 Média CVE-2024-3094

GCP-2024-020

Publicado em: 02/04/2024

Descrição

Descrição Gravidade Observações

Pesquisadores descobriram uma vulnerabilidade (CVE-2023-48022) no Ray. O Ray é uma ferramenta de terceiros e de código aberto para cargas de trabalho de IA. Como ele não exige autenticação, os invasores podem executar código remotamente enviando jobs para instâncias expostas publicamente. A vulnerabilidade foi contestada pela Anyscale, desenvolvedora do Ray. O Ray afirma que as funções são um recurso principal e pretendido do produto e que a segurança precisa ser implementada fora de um cluster do Ray, já que qualquer exposição não intencional da rede do cluster pode levar a uma violação.

Com base na resposta, essa CVE foi contestada e pode não aparecer em verificadores de vulnerabilidades. De qualquer forma, ela está sendo explorada ativamente em ambientes reais, e os usuários precisam configurar o uso conforme sugerido abaixo.

O que devo fazer?

Siga as práticas recomendadas e diretrizes do Ray, incluindo a execução de código confiável em redes confiáveis, para proteger suas cargas de trabalho do Ray. A implantação do ray.io nas instâncias de nuvem do cliente se enquadra no modelo de responsabilidade compartilhada.

A segurança do Google Kubernetes Engine (GKE) tem um blog com informações sobre aumentar a proteção do Ray no GKE.

Para mais informações sobre como adicionar autenticação e autorização aos serviços do Ray, consulte a documentação do Identity-Aware Proxy (IAP). Os usuários do GKE podem implementar o IAP seguindo estas orientações ou redirecionando os módulos do Terraform vinculados no blog.

Alta CVE-2023-48022

GCP-2024-018

Publicado em: 12/03/2024

Atualizado em: 04/04/2024, 06/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 06/05/2024: adicionamos versões de patch para os pools de nós do GKE para Ubuntu.

Atualização de 04/04/2024: corrigimos as versões mínimas para os pools de nós do Container-Optimized OS do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-1085

GCP-2024-017

Publicado em: 06/03/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3611

GCP-2024-016

Publicado em: 05/03/2024

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades na VMSA-2024-0006 que afetam os componentes do ESXi implantados nos ambientes dos clientes.

Impacto no Google Cloud VMware Engine

Suas nuvens privadas foram atualizadas com uma resolução da vulnerabilidade de segurança.

O que devo fazer?

Não é necessário ação da sua parte.

Crítica

GCP-2024-014

Publicado em: 26/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3776

GCP-2024-013

Publicado em: 27/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3610

GCP-2024-012

Publicado em: 20/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-0193

GCP-2024-011

Publicado em: 15/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6932

GCP-2024-010

Publicado em: 14/02/2024

Atualizado em: 17/04/2024

Descrição

Descrição Gravidade Observações

Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6931

GCP-2024-009

Publicado em: 13/02/2024

Descrição

Descrição Gravidade Observações

Em 13 de fevereiro de 2024, a AMD divulgou duas vulnerabilidades que afetam o SEV-SNP em CPUs EPYC baseadas nos núcleos Zen de terceira (Milan) e quarta geração (Genoa). As vulnerabilidades permitem que invasores privilegiados acessem dados desatualizados de convidados ou causem uma perda na integridade do convidado.

O Google aplicou correções aos recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária. As correções já foram aplicadas à frota de servidores do Google para Google Cloud, incluindo o Compute Engine.

Para mais informações, consulte o boletim de segurança AMD-SN-3007 da AMD.

 Moderada

GCP-2024-008

Publicado em: 12/02/2024

Descrição

Descrição Gravidade Observações

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5528

GCP-2024-007

Publicado em: 08/02/2024

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-23322: o Envoy trava quando o tempo de limite de solicitações por tentativa e de inatividade expira dentro do tempo de espera.
  • CVE-2024-23323: uso excessivo da CPU quando a correspondência de modelos de URI é configurada usando regex.
  • CVE-2024-23324: a autorização externa pode ser ignorada quando o filtro do protocolo de proxy define metadados UTF-8 inválidos.
  • O Envoy falha ao usar um tipo de endereço sem suporte no SO.
  • CVE-2024-23327: falha no protocolo de proxy quando o tipo de comando é LOCAL.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-006

Publicado em: 05/02/2024

Descrição

Descrição Gravidade Observações

Quando um proxy de gerenciamento de APIs da Apigee se conecta a um endpoint de destino ou servidor de destino, o proxy não realiza a validação do nome do host para o certificado apresentado pelo endpoint ou servidor de destino por padrão. Se a validação do nome do host não estiver ativada usando uma das seguintes opções, os proxies da Apigee que se conectam a um endpoint ou servidor de destino poderão estar em risco de um ataque "man-in-the-middle" por um usuário autorizado. Para mais informações, consulte Como configurar o TLS do Edge para o back-end (nuvem e nuvem privada).

As implantações de proxy da Apigee nas plataformas da Apigee a seguir foram afetadas:

  • Apigee Edge para nuvem pública
  • Apigee Edge para nuvem privada

Para instruções e mais detalhes, consulte o boletim de segurança da Apigee.

 Alta

GCP-2024-005

Publicado em: 31/01/2024
Atualizado em: 02/04/2024, 06/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 06/05/2024: adicionamos versões de patch para o GKE na AWS e no Azure.

Atualização de 02/04/2024: adicionamos versões de patch para o GKE em Bare Metal

Atualização de 06/03/2024: adicionamos versões de patch para o GKE no VMware

Atualização de 28/02/2024: adicionamos versões de patch para o Ubuntu.

Atualização de 15/02/2024: esclarecimento que as versões de patch 1.25 e 1.26 do Ubuntu na atualização de 14/02/2024 podem causar nós inativos.

Atualização de 14/02/2024: adicionamos versões de patch para o Ubuntu

Atualização de 06/02/2024: adicionamos versões de patch para o Container-Optimized OS.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods no Container-Optimized OS e em nós do Ubuntu pode ter acesso total ao sistema de arquivos do nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-21626

GCP-2024-004

Publicado em: 24/01/2024
Atualizado em: 07/02/2024

Descrição

Descrição Gravidade Observações

Atualização de 07/02/2024: adicionamos versões de patch para o Ubuntu.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6817

GCP-2024-003

Publicado em: 19/01/2024
Atualizado em: 26/01/2024

Descrição

Descrição Gravidade Observações

Atualização de 26/01/2024: esclarecimento sobre o número de clusters afetados e as ações que tomamos para ajudar a reduzir o impacto. Para mais detalhes, consulte o boletim de segurança GCP-2024-003.

Identificamos vários clusters em que os usuários concederam privilégios do Kubernetes ao grupo system:authenticated, que inclui todos os usuários com uma conta do Google. Esses tipos de vinculações não são recomendadas porque violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte O que devo fazer para instruções sobre como encontrar esses tipos de vinculações.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média

GCP-2024-002

Publicado em: 17/01/2024

Atualizado em: 20/02/2024

Descrição

Descrição Gravidade Observações

Atualização de 20/02/2024: adicionamos versões de patch para o GKE no VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios em nós do Container-Optimized OS.

  • CVE-2023-6111

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6111

GCP-2024-001

Publicado em: 09/01/2024

Descrição

Descrição Gravidade Observações

Várias vulnerabilidades foram descobertas no firmware UEFI TianoCore EDK II. Esse firmware é usado em VMs do Google Compute Engine. Se exploradas, elas podem permitir uma violação da inicialização segura, o que forneceria medições falsas no processo de inicialização segura, inclusive quando usadas em VMs protegidas.

O que devo fazer?

Você não precisa fazer nada. O Google corrigiu essa vulnerabilidade no Compute Engine, e todas as VMs estão protegidas contra ela.

Quais vulnerabilidades são corrigidas por esse patch?

O patch mitigou as seguintes vulnerabilidades:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Média

GCP-2023-051

Publicado em: 28/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3609

GCP-2023-050

Publicado em: 27/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3389

GCP-2023-049

Publicado em: 20/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3090

GCP-2023-048

Publicado em: 15/12/2023

Atualizado em: 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3390

GCP-2023-047

Publicado em: 14/12/2023

Descrição

Descrição Gravidade Observações

Um invasor que comprometeu o contêiner de registro do Fluent Bit pode combinar esse acesso com os privilégios elevados exigidos pelo Cloud Service Mesh (em clusters que o ativaram) para aumentar os privilégios no cluster.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média

GCP-2023-046

Publicado em: 22/11/2023
Atualizado em: 04/03/2024

Descrição

Descrição Gravidade Observações

Atualização de 04/03/2024: adicionamos versões do GKE para o GKE no VMware.

Atualização de 22/01/2024: adicionamos versões de patch do Ubuntu

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5717

GCP-2023-045

Publicado em: 20/11/2023

Atualizado em: 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5197

GCP-2023-044

Publicado em: 15/11/2023

Descrição

Descrição Gravidade Observações

Em 14 de novembro, a AMD divulgou várias vulnerabilidades que afetam várias CPUs de servidor da AMD. Especificamente, as vulnerabilidades afetam as CPUs de servidor EPYC que usam a geração 2 "Rome", a geração 3 "Milan" e a geração 4 "Genoa" do Zen Core.

O Google aplicou correções aos recursos afetados, incluindo o Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária.

As correções já foram aplicadas à frota de servidores do Google para Google Cloud, incluindo o Google Compute Engine.

Quais vulnerabilidades estão sendo abordadas?

O patch mitigou as seguintes vulnerabilidades:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3005: "Aviso de segurança da instrução INVD da AMD", também publicado como CacheWarp, e AMD-SN-3002: "Vulnerabilidades do servidor AMD – novembro de 2023".

 Moderada

GCP-2023-043

Publicado em: 14/11/2023

Descrição

Descrição Gravidade Observações

A Intel divulgou uma vulnerabilidade de CPU em alguns processadores. Para garantir a proteção dos clientes, o Google tomou medidas para reduzir o risco na frota de servidores, incluindo o Google Compute Engine para Google Cloude dispositivos Chrome OS.

Detalhes da vulnerabilidade:

  • CVE-2023-23583

O que devo fazer?

Nenhuma ação do cliente é necessária.

A mitigação fornecida pela Intel para os processadores afetados foi aplicada à frota de servidores do Google, incluindo o Google Compute Engine para Google Cloud.

No momento, o Google Distributed Cloud Edge exige uma atualização do OEM. O Google vai corrigir esse produto assim que a atualização for disponibilizada, e este boletim será atualizado de acordo.

Os dispositivos Chrome OS com os processadores afetados receberam a correção de modo automático como parte das versões 119, 118 e 114 (LTS).

Quais vulnerabilidades estão sendo abordadas?

CVE-2023-23583. Para mais detalhes, consulte o Aviso de segurança INTEL-SA-00950 da Intel.

 Alta CVE-2023-23583

GCP-2023-042

Publicado em: 13/11/2023
Atualizado em: 15/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 15/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4147

GCP-2023-041

Publicado em: 08/11/2023

Atualizado em: 21/11/2023, 05/12/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 05/12/2023: foram adicionadas outras versões do GKE para pools de nós do Container-Optimized OS.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4004

GCP-2023-040

Publicado em: 06/11/2023

Atualizado em: 21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4921

GCP-2023-039

Publicado em: 06/11/2023

Atualizado em: 21/11/2023, 16/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

Atualização de 16/11/2023: a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4622

GCP-2023-038

Publicado em: 06/11/2023

Atualizado em: 21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4623

GCP-2023-037

Publicado em: 06/11/2023

Atualizado em: 21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4015

GCP-2023-036

Publicado em: 30/10/2023

Descrição

Descrição Gravidade Observações

O Deep Learning VM Images é um conjunto de imagens de máquinas virtuais pré-empacotadas com um framework de aprendizado profundo pronto para ser executado. Recentemente, uma vulnerabilidade de gravação fora do limite foi descoberta na função "ReadHuffmanCodes()" da biblioteca "libwebp". Isso pode afetar as imagens que usam essa biblioteca.

OGoogle Cloud verifica continuamente as imagens públicas e atualiza os pacotes para garantir que as distribuições com patch sejam incluídas nas versões mais recentes disponíveis para a adoção pelo cliente. O Deep Learning VM Image foi atualizado para garantir que as imagens de VM mais recentes incluam as distribuições com patch. Os clientes que adotam as imagens de VM mais recentes não ficam expostos a essa vulnerabilidade.

O que devo fazer?

Os clientes doGoogle Cloud que usam imagens de VM publicadas precisam verificar se estão adotando as imagens mais recentes e se os ambientes estão atualizados de acordo com o modelo de responsabilidade compartilhada.

A CVE-2023-4863 pode ser explorada por um invasor que queira executar códigos arbitrários. Essa vulnerabilidade foi identificada no Google Chrome antes da 116.0.5845.187 e em "libwebp" antes da 1.3.2 e está listada na CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Publicado em: 26/10/2023

Atualizado em: 21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Publicado em: 25/10/2023

Atualizado em: 27/10/2023

Descrição

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades na VMSA-2023-0023 que afetam os componentes do vCenter implantados nos ambientes dos clientes.

Impacto no Cloud Customer Care

  • A vulnerabilidade pode ser explorada com acesso a portas específicas no vCenter Server. Essas portas não são expostas à Internet pública.
  • Se as portas do vCenter 2012/tcp, 2014/tcp e 2020/tcp não puderem ser acessadas por sistemas não confiáveis, não haverá exposição a essa vulnerabilidade.
  • O Google já bloqueou as portas vulneráveis no vCenter Server, impedindo qualquer possível exploit dessa vulnerabilidade.
  • Além disso, o Google garantirá que todas as implantações futuras do vCenter Server não sejam expostas a essa vulnerabilidade.
  • No momento da publicação do boletim, o VMware não estava ciente de nenhuma exploração conhecida. Para mais detalhes, consulte a documentação do VMware.

O que devo fazer?

Nenhuma ação é necessária no momento.

 Crítica CVE-2023-34048, CVE-2023-34056

GCP-2023-033

Publicado em: 24/10/2023

Atualizado em: 21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados e as cargas de trabalho do GKE Sandbox não são afetadas.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3777

GCP-2023-032

Publicado em: 13/10/2023

Atualizado em: 03/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 03/11/2023: adicionamos um problema conhecido relacionado ao Apigee Edge para nuvem privada.

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o serviço de entrada da Apigee (Cloud Service Mesh) usado pela Apigee X e Apigee híbrida. A vulnerabilidade pode levar a um DoS da funcionalidade de gerenciamento de APIs da Apigee.

Para instruções e mais detalhes, consulte o boletim de segurança da Apigee.

Alta CVE-2023-44487

GCP-2023-031

Publicado em: 10/10/2023

Descrição

Descrição Gravidade Observações

Um ataque de negação de serviço pode afetar o plano de dados quando o protocolo HTTP/2 é usado. Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Publicado em: 10/10/2023

Atualizado em: 20/03/2024

Descrição

Descrição Gravidade Observações

Atualização de 20/03/2024: adicionamos versões de patch para o GKE na AWS e o GKE no Azure com os patches mais recentes para CVE-2023-44487.

Atualização de 20/02/2024: adicionamos versões de patch para o GKE no VMware.

Atualização de 09/11/2023: adicionamos a CVE-2023-39325. As versões do GKE foram atualizadas com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque DoS no plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Publicado em: 03/10/2023

Descrição

Descrição Gravidade Observações

O TorchServe é usado para hospedar modelos de machine learning PyTorch para previsão on-line. A Vertex AI fornece contêineres pré-criados de disponibilização do modelo PyTorch que dependem do TorchServe. Recentemente, foram descobertas no TorchServe vulnerabilidades que permitiriam a um invasor assumir o controle de uma implantação do TorchServe se a API de gerenciamento de modelos for exposta. Os clientes com modelos PyTorch implantados na Vertex AI Online Prediction não são afetados por essas vulnerabilidades, porque a Vertex AI não expõe a API de gerenciamento de modelos do TorchServe. Os clientes que usam o TorchServe fora da Vertex AI precisam tomar precauções para garantir que as implantações sejam configuradas com segurança.

O que devo fazer?

Os clientes da Vertex AI com modelos implantados usando contêineres de veiculação pré-criados do PyTorch da Vertex AI não precisam fazer nada para resolver as vulnerabilidades, já que as implantações da Vertex AI não expõem o servidor de gerenciamento do TorchServe à Internet.

Os clientes que usam os contêineres pré-criados do PyTorch em outros contextos ou que usam uma distribuição personalizada ou de terceiros do TorchServe devem fazer o seguinte:

  • Verifique se a API de gerenciamento de modelos do TorchServe não está exposta à Internet. A API de gerenciamento de modelos pode ser restrita ao acesso local. Basta vincular o management_address a 127.0.0.1.
  • Use a configuração allowed_urls para garantir que os modelos possam ser carregados apenas de origens pretendidas.
  • Faça upgrade do TorchServe para a versão 0.8.2, que inclui mitigações para esse problema, o mais rápido possível. Por precaução, a Vertex AI vai lançar contêineres pré-criados corrigidos em 13/10/2023.

Quais vulnerabilidades estão sendo abordadas?

A API de gerenciamento do TorchServe está vinculada a 0.0.0.0 por padrão na maioria das imagens Docker do TorchServe, incluindo as lançadas pela Vertex AI, o que a torna acessível para solicitações externas. O endereço IP padrão da API de gerenciamento foi alterado para 127.0.0.1 no TorchServe 0.8.2, reduzindo esse problema.

A CVE-2023-43654 e a CVE-2022-1471 permitem que um usuário com acesso à API de gerenciamento carregue modelos de fontes arbitrárias e execute código remotamente. As mitigações para esses dois problemas estão incluídas no TorchServe 0.8.2: o caminho de execução do código remoto é removido e um aviso é emitido se o valor padrão de allowed_urls é usado.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Publicado em: 19/09/2023

Atualizado em: 29/05/2024

Descrição

Descrição Gravidade Observações
Atualização de 29/05/2024: os novos feeds não usam mais a conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais e evita interrupções no serviço. As mudanças na fonte em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando os feeds antigos normalmente, desde que não mudem a fonte.

Os clientes podem configurar o Google Security Operations para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até pouco tempo, o Google Security Operations fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Uma oportunidade existia para que a instância do Google Security Operations de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de realizar uma análise de impacto, não encontramos nenhuma exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google Security Operations anteriores a 19 de setembro de 2023.

O que devo fazer?

Em 19 de setembro de 2023, o Google Security Operations foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo abordadas?

Antes, o Google Security Operations fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes concederam permissão à mesma conta de serviço do Google Security Operations para o bucket, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro quando um feed estava sendo criado ou modificado. Esse vetor de exploração exigia conhecimento sobre o URI do bucket. Agora, durante a criação ou modificação de feeds, o Google Security Operations usa contas de serviço exclusivas para cada cliente.

 Alta

GCP-2023-027

Publicado em: 11/09/2023
Descrição Gravidade Observações

As atualizações do VMware vCenter Server lidam com várias vulnerabilidades de corrupção de memória (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impacto no Customer Care

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

O que devo fazer?

Os clientes não são afetados, e nenhuma ação é necessária.

 Média

GCP-2023-026

Publicado em: 06/09/2023

Descrição

Descrição Gravidade Observações

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Publicado em: 08/08/2023
Descrição Gravidade Observações

A Intel anunciou recentemente o aviso de segurança INTEL-SA-00828 que afeta algumas das famílias de processadores. Recomendamos que você avalie os riscos com base na orientação.

Impacto no Google Cloud VMware Engine

Nossa frota usa as famílias de processadores afetados. Na nossa implantação, todo o servidor é dedicado a um cliente. Portanto, nosso modelo de implantação não adiciona nenhum risco à sua avaliação dessa vulnerabilidade.

Estamos trabalhando com nossos parceiros para conseguir os patches necessários e vamos implantá-los com prioridade em toda a frota usando o processo de upgrade padrão nas próximas semanas.

O que devo fazer?

Você não precisa fazer nada. Estamos trabalhando para fazer upgrade de todos os sistemas afetados.

 Alta

GCP-2023-024

Publicado em: 08/08/2023

Atualizado em: 10/08/2023, 04/06/2024

Descrição

Descrição Gravidade Observações

Atualização de 04/06/2024: os seguintes produtos ausentes foram atualizados para corrigir essa vulnerabilidade:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

Atualização de 10/08/2023: adicionamos o número da versão LTS do ChromeOS.

A Intel divulgou uma vulnerabilidade em alguns processadores (CVE-2022-40982). Para garantir a proteção dos clientes, o Google tomou medidas para reduzir o risco na frota de servidores, incluindo o Google Cloud.

Detalhes da vulnerabilidade:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS", também conhecido como "Downfall")

O que devo fazer?

Nenhuma ação do cliente é necessária.

Todos os patches disponíveis já foram aplicados à frota de servidores do Google para o Google Cloud, incluindo o Google Compute Engine.

No momento, os seguintes produtos exigem outras atualizações de parceiros e fornecedores.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solução Bare Metal do Google Cloud
  • Evolved Packet Core

O Google vai corrigir esses produtos assim que os patches forem disponibilizados, e este boletim será atualizado de acordo.

Os clientes do Google Chromebook e do ChromeOS Flex receberam automaticamente as mitigações fornecidas pela Intel nas versões Stable (115), LTS (108), Beta (116) e LTC (114). Os clientes do Chromebook e do ChromeOS Flex com versões mais antigas devem considerar atualizá-las e migrar para as versões Stable ou LTS para garantir o recebimento dessa e de outras correções de vulnerabilidade.

Quais vulnerabilidades estão sendo abordadas?

CVE-2022-40982: para mais informações, consulte o Aviso de segurança INTEL-SA-00828 da Intel.

Alta CVE-2022-40982

GCP-2023-023

Publicado em: 08/08/2023

Descrição

Descrição Gravidade Observações

A AMD divulgou uma vulnerabilidade em alguns processadores (CVE-2023-20569). Para garantir a proteção dos clientes, o Google tomou medidas para reduzir o risco na frota de servidores, incluindo o Google Cloud.

Detalhes da vulnerabilidade:

  • CVE-2023-20569 (AMD SB-7005, também conhecido como "Inception")

O que devo fazer?

Os usuários de VMs do Compute Engine devem considerar adotar as mitigações fornecidas pelo SO se executarem código não confiável na instância. Recomendamos que os clientes entrem em contato com os fornecedores de SO para orientações mais específicas.

As correções já foram aplicadas à frota de servidores do Google para Google Cloud, incluindo o Google Compute Engine.

Quais vulnerabilidades estão sendo abordadas?

CVE-2023-20569: para mais informações, consulte AMD SB-7005.

Moderada CVE-2023-20569

GCP-2023-022

Publicado em: 03/08/2023

Descrição

Descrição Gravidade Observações

O Google identificou uma vulnerabilidade nas implementações do gRPC em C++ nas versões anteriores à 1.57. Uma vulnerabilidade de negação de serviço foi encontrada na implementação do gRPC em C++. Esses problemas foram corrigidos nas versões 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • O gRPC (C++, Python, Ruby) nas versões 1.53, 1.54, 1.55 e 1.56 precisa ser atualizado para as seguintes versões corrigidas:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • O gRPC (C++, Python, Ruby) na versão 1.52 e anteriores precisa ser atualizado para uma versão corrigida aprovada. Por exemplo, 1.53.2, 1.54.3, 1.53.4 etc.

Quais vulnerabilidades estão sendo abordadas?

As correções minimizam as seguintes vulnerabilidades:

  • Vulnerabilidade de negação de serviço durante a implementação do gRPC em C++: solicitações especialmente criadas podem encerrar a conexão entre um proxy e um back-end.
Alta CVE-2023-33953

GCP-2023-021

Atualizado em: 26/07/2023

Publicado em: 25/07/2023

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2023-35941: um cliente mal-intencionado pode criar credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação de host e prazo de validade no payload de HMAC pode sempre ser válida na verificação de HMAC do filtro OAuth2.
  • CVE-2023-35942: os registradores de evento de acesso gRPC que usam o escopo global do listener podem causar uma falha de uso após a liberação (use-after-free) quando o listener é drenado. Isso pode ser acionado por uma atualização do LDS com a mesma configuração de registro de acesso gRPC.
  • CVE-2023-35943: se o cabeçalho origin estiver configurado para ser removido com request_headers_to_remove: origin, o filtro CORS vai exibir segfault e gerar uma falha no Envoy.
  • CVE-2023-35944: os invasores podem enviar solicitações de esquema misto para ignorar verificações de esquema no Envoy. Por exemplo, se uma solicitação com esquema misto HTTP for enviada para o filtro OAuth2, ela falhará nas verificações de correspondência exata para HTTP e informará ao endpoint remoto que o esquema é HTTPS, possivelmente ignorando verificações OAuth2 específicas para solicitações HTTP.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2023-020

Atualizado em: 26/07/2023

Publicado em: 24/07/2023

Descrição

Descrição Gravidade Observações

A AMD lançou uma atualização de microcódigo que aborda uma vulnerabilidade de segurança de hardware (CVE-2023-20593). O Google aplicou as correções necessárias para essa vulnerabilidade à frota de servidores, incluindo servidores do Google Cloud Platform. Os testes indicam que não há impacto no desempenho dos sistemas.

O que devo fazer?

Nenhuma ação do cliente é necessária, já que as correções foram aplicadas à frota de servidores do Google para o Google Cloud Platform.

Quais vulnerabilidades estão sendo abordadas?

A CVE-2023-20593 aborda uma vulnerabilidade em algumas CPUs AMD. Confira mais informações neste link.

Alta CVE-2023-20593

GCP-2023-019

Publicado em: 18/07/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-35945) foi descoberta no Envoy, em que resposta especialmente criada de um serviço upstream não confiável pode causar uma negação de serviço por esgotamento da memória. Ela é causada pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e estruturas de contabilidade ao receber RST_STREAM imediatamente seguido pelos frames GOAWAY de um servidor upstream.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Publicado em: 27/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS também são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-2235

GCP-2023-017

Publicado em: 26/06/2023

Atualizado em: 11/07/2023

Descrição

Descrição Gravidade Observações

Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-31436

GCP-2023-016

Publicado em: 26/06/2023

Descrição

Descrição Gravidade Observações

Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh. Elas permitem que um invasor mal-intencionado cause uma negação de serviço ou falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Publicado em: 20/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade, CVE-2023-0468, foi descoberta no kernel do Linux. Ela pode permitir que um usuário sem privilégios aumente os privilégios para raiz quando "io_poll_get_ownership" continuar aumentando "req->poll_refs" em cada "io_poll_wake" até um overflow para 0. Isso executa fput req->file duas vezes e causa um problema de refcount do arquivo struct. Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS que usam a versão do kernel 5.15 do Linux são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média CVE-CVE-2023-0468

GCP-2023-014

Atualizado em: 11/08/2023
Publicado em: 15/06/2023

Descrição

Descrição Gravidade Observações

Atualização de 11/08/2023: adicionamos versões de patch para o GKE no VMware, o GKE na AWS, o GKE no Azure e o Google Distributed Cloud Virtual para Bare Metal.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Publicado em: 08/06/2023

Descrição

Descrição Gravidade Observações

Quando você ativa a API Cloud Build em um projeto, o Cloud Build cria de modo automático uma conta de serviço padrão para executar builds em seu nome. Essa conta de serviço tinha a permissão do IAM logging.privateLogEntries.list, que fornecia aos builds acesso a lista de registros particulares por padrão. Essa permissão foi revogada para aderir ao princípio de segurança de privilégio mínimo.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Build.

 Baixa

GCP-2023-010

Publicado em: 07/06/2023

Descrição

Descrição Gravidade Observações

O Google identificou três novas vulnerabilidades na implementação do gRPC em C++. Elas serão publicadas em breve como CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Em abril, encontramos duas vulnerabilidades nas versões 1.53 e 1.54. A primeira era uma vulnerabilidade de negação de serviço que acontecia durante a implementação do gRPC em C++, e a outra era relacionada à exfiltração de dados. Corrigimos esses problemas nas versões 1.53.1, 1.54.2 e posteriores.

Em março, nossas equipes descobriram outra vulnerabilidade de negação de serviço durante a implementação do gRPC em C++ ao executarem testes de fuzzing de rotina. O problema foi encontrado na versão 1.52 e foi corrigido nas versões 1.52.2 e 1.53.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • O gRPC (C++, Python, Ruby) nas versões 1.52, 1.53 e 1.54 precisa ser atualizado para as seguintes versões de patch:
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • O gRPC (C++, Python, Ruby) na versão 1.51 e anteriores não foi afetado e os usuários dessas versões não precisam fazer nada.

Quais vulnerabilidades serão corrigidas?

As correções minimizam as seguintes vulnerabilidades:

  • As versões 1.53.1, 1.54.2 e posteriores corrigem a vulnerabilidade de negação de serviço durante a implementação do gRPC em C++. Solicitações especialmente criadas podem encerrar a conexão entre um proxy e um back-end. Vulnerabilidade de exfiltração de dados remota: a dessincronização na tabela HPACK devido a limitações de tamanho do cabeçalho pode resultar em back-ends de proxy com vazamento de dados de cabeçalho de outros clientes conectados ao proxy.
  • As versões 1.52.2, 1.53 e posteriores corrigem a vulnerabilidade de negação de serviço durante a implementação do gRPC em C++, em que a análise de algumas solicitações formuladas pode gerar uma falha que afeta um servidor.

Recomendamos que você faça upgrade para as versões mais recentes dos pacotes de software listados acima.

 Alta (CVE-2023-1428, CVE-2023-32731). Média (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Publicado em: 06/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia ler tokens de conta de serviço.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhuma CVE-2023-2878

GCP-2023-008

Publicado em: 05/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-1872

GCP-2023-007

Publicado em: 02/06/2023

Descrição

Descrição Gravidade Observações

Recentemente foi descoberta uma vulnerabilidade no Cloud SQL para SQL Server que permitia que contas de administrador de clientes criassem gatilhos no banco de dados tempdb e os usassem para receber privilégios sysadmin na instância. Os privilégios sysadmin concederiam ao invasor acesso aos bancos de dados do sistema e acesso parcial à máquina que executa essa instância do SQL Server.

OGoogle Cloud resolveu o problema corrigindo a vulnerabilidade de segurança até 1º de março de 2023. O Google Cloud não encontrou instâncias de cliente comprometidas.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud SQL.

 Alta

GCP-2023-005

Publicado em: 18/05/2023

Atualizado em: 06/06/2023

Descrição

Descrição Gravidade Observações

Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Publicado em: 26/04/2023

Descrição

Descrição Gravidade Observações

Duas vulnerabilidades (CVE-2023-1017 e CVE-2023-1018) foram descobertas no módulo de plataforma confiável (TPM, na sigla em inglês) 2.0.

Elas poderiam permitir que um invasor sofisticado explorasse uma leitura/gravação de 2 bytes fora dos limites em determinadas VMs do Compute Engine.

Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.

 Média

GCP-2023-003

Publicado em: 11/04/2023

Atualizado em: 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descrição

Descrição Gravidade Observações

As seguintes CVEs expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um usuário malicioso poderá criar uma solicitação que causaria a negação de serviço ao causar uma falha do Envoy.
  • CVE-2023-27488: o invasor pode usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.
  • CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.
  • CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e causar falhas.
  • CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.
  • CVE-2023-27487: o cabeçalho x-envoy-original-path deveria ser um cabeçalho interno, mas o Envoy não o remove da solicitação no início do processamento quando ele é enviado de um cliente não confiável.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2023-001

Publicado em: 01/03/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2022-4696

GCP-2022-026

Publicado em: 11/01/2023

Descrição

Descrição Gravidade Observações

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) que podem causar uma falha foram descobertas no OpenSSL v3.0.6.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média

GCP-2022-025

Publicado em: 21/12/2022
Atualizado em: 19/01/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 19/01/2023: adicionamos informações de que a versão 1.21.14-gke.14100 do GKE está disponível.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) que podem causar uma falha foram descobertas no OpenSSL v3.0.6.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Média

GCP-2022-024

Publicado em: 09/11/2022

Atualizado em: 19/01/2023

Descrição

Descrição Gravidade Observações

Atualização de 19/01/2023: adicionamos informações de que a versão 1.21.14-gke.14100 do GKE está disponível.

Atualização de 16/12/2022: adicionamos versões de patch para o GKE e o GKE no VMware.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma invasão completa do contêiner para raiz do nó.

Para instruções e mais detalhes, consulte:

Alta

GCP-2022-023

Publicado em: 04/11/2022

Descrição

Descrição Gravidade Observações

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-39278

GCP-2022-022

Publicado em: 28/10/2022

Atualizado em: 14/12/2022

Descrição

Descrição Gravidade Observações

Atualização de 14/12/2022: adicionamos versões de patch para o GKE e o GKE no VMware.

Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios tenha o privilégio de execução do sistema.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-20409

GCP-2022-021

Publicado em: 27/10/2022

Atualizado em: 19/01/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 19/01/2023: adicionamos informações de que a versão 1.21.14-gke.14100 do GKE está disponível.

Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.

Atualização de 22/11/2022: adicionamos versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure.

Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-3176

GCP-2022-020

Publicado em: 05/10/2022

Atualizado em: 12/10/2022

Descrição

Descrição Gravidade Observações

O plano de controle istiod do Istio é vulnerável a um erro de processamento de solicitação. Isso permite que um invasor mal-intencionado envie uma mensagem especialmente criada para que o plano de controle falhe quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é exibido na porta TLS 15017, mas não requer autenticação do invasor.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Publicado em: 22/09/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de análise de mensagens e gerenciamento de memória nas implementações do ProtocolBuffer em C++ e Python pode causar uma falha de falta de memória (OOM) ao processar uma mensagem especialmente criada. Ela pode levar a uma negação de serviço (DoS) em serviços que usam as bibliotecas.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quais vulnerabilidades são corrigidas por esse patch?

O patch reduz os riscos da seguinte vulnerabilidade:

Uma pequena mensagem especialmente elaborada que faz com que o serviço em execução aloque grandes quantidades de RAM. Por ser uma solicitação pequena, é fácil aproveitar a vulnerabilidade e esgotar os recursos. Sistemas C++ e Python que consomem protobufs não confiáveis ficariam vulneráveis a ataques de DoS se tiverem um objeto MessageSet na solicitação RPC.

Média CVE-2022-1941

GCP-2022-018

Publicado em: 01/08/2022

Atualizado em: 14/09/2022, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 14/09/2022: adicionamos versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure.

Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso raiz no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-2327

GCP-2022-017

Publicado em: 29/11/2022
Atualizado em: 22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.

Atualização de 21/07/2022: mais informações sobre o GKE no VMware.

Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Ela permite que um usuário sem privilégios com acesso local ao cluster consiga realizar uma invasão total do contêiner com acesso raiz no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas.

Para instruções e mais detalhes, consulte:

 Alta CVE-2022-1786

GCP-2022-016

Publicado em: 23/06/2022
Atualizado em: 22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116.

Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster realize uma invasão total do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP-2022-015

Publicado em: 09/06/2022
Atualizado em: 10/06/2022

Descrição

Descrição Gravidade Observações

Atualização de 10/06/2022: as versões do Cloud Service Mesh foram atualizadas. Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE a vulnerabilidades que podem ser exploradas remotamente:

  • CVE-2022-31045: o plano de dados do Istio pode acessar a memória de forma não segura quando as extensões Metadata Exchange e Stats estiverem ativadas.
  • CVE-2022-29225: os dados podem exceder os limites intermediários de buffer se um invasor enviar um payload pequeno e altamente compactado (ataque de bomba zip).
  • CVE-2021-29224: possível referência de ponteiro nulo em GrpcHealthCheckerImpl.
  • CVE-2021-29226: o filtro OAuth permite ignorar itens triviais.
  • CVE-2022-29228: o filtro OAuth pode corromper a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores).
  • CVE-2022-29227: falha em redirecionamentos internos nas solicitações com corpo ou trailers.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Crítica

GCP-2022-014

Publicado em: 26/04/2022
Atualizado em: 22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022: os clusters do GKE Autopilot e as cargas de trabalho em execução no GKE Sandbox não são afetados.

Atualização de 12/05/2022: as versões do GKE na AWS e do GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:

Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma invasão de contêiner, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Publicado em: 11/04/2022
Atualizado em: 22/04/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento da travessia de caminhos de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem conseguir acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer restrição baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes).

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Média CVE-2022-23648

GCP-2022-012

Publicado em: 07/04/2022
Atualizado em: 22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022: para clusters do GKE nos modos Standard e Autopilot, as cargas de trabalho que usam o GKE Sandbox não são afetadas.

Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta nas versões 5.8 e posteriores do kernel do Linux. Ela permite possivelmente escalonar privilégios de contêiner para acesso raiz. Essa vulnerabilidade afeta os seguintes produtos:

  • As versões do pool de nós do GKE 1.22 e posteriores que usam imagens do Container-Optimized OS (versão 93 e posteriores).
  • GKE no VMware v1.10 para imagens do Container-Optimized OS
  • GKE na AWS v1.21 e GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam o Ubuntu
  • Clusters gerenciados do GKE no Azure v1.21 que usam o Ubuntu

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2022-0847

GCP-2022-011

Publicado em: 22/03/2022
Atualizado em: 11/08/2022

Descrição

Descrição Gravidade

Atualização de 11/08/2022: adicionamos mais informações sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). A SMT deveria estar desativada, mas estava ativada nas versões listadas.

Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema.

Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Média

GCP-2022-010

Descrição

Descrição Gravidade Observações

A seguinte CVE do Istio expõe o Cloud Service Mesh a uma vulnerabilidade que pode ser explorada remotamente:

  • CVE-2022-24726: o plano de controle "istiod" do Istio é vulnerável a um erro de processamento de solicitação. Isso permite que um invasor mal-intencionado envie uma mensagem especialmente criada para que o plano de controle falhe quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é veiculado na porta TLS 15017, mas não requer autenticação do invasor.

Para receber instruções e mais detalhes, consulte o seguinte boletim de segurança:

Alta

GCP-2022-009

Publicado em: 01/03/2022

Descrição

Descrição Gravidade

Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Baixa

GCP-2022-008

Publicado em: 23/02/2022
Atualizado em: 28/04/2022

Descrição

Descrição Gravidade Observações

Atualização de 28/04/2022: adicionamos versões do GKE no VMware que corrigem essas vulnerabilidades. Para mais detalhes, consulte o boletim de segurança do GKE no VMware.

O projeto Envoy descobriu recentemente algumas vulnerabilidades. Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
  • CVE-2022-23606: quando um cluster é excluído pelo serviço de descoberta de clusters (CDS, na sigla em inglês), todas as conexões inativas estabelecidas com endpoints nesse cluster são desconectadas. Uma recursão foi introduzida erroneamente na versão 1.19 do Envoy no procedimento de desconexão de conexões ociosas, o que pode levar ao esgotamento da pilha e ao encerramento anormal do processo quando um cluster tem muitas conexões ociosas.
  • CVE-2022-21655: o código de redirecionamento interno do Envoy pressupõe que uma entrada de rota exista. Quando um redirecionamento interno é feito para uma rota que tem uma entrada de resposta direta e nenhuma entrada de rota, isso resulta na remoção da referência de um ponteiro nulo e em uma falha.
  • CVE-2021-43826: quando o Envoy é configurado para usar tcp_proxy, que usa tunelamento upstream (por HTTP) e término de TLS downstream, ele apresentará uma falha se o cliente downstream se desconectar durante o handshake de TLS enquanto o fluxo HTTP upstream ainda estiver sendo estabelecido. A desconexão downstream pode ser iniciada pelo cliente ou pelo servidor. O cliente pode se desconectar por qualquer motivo. O servidor pode se desconectar se, por exemplo, não tiver criptografias TLS ou versões do protocolo TLS compatíveis com o cliente. Também é possível acionar essa falha em outras configurações downstream.
  • CVE-2021-43825: o envio de uma resposta gerada localmente precisa interromper o processamento adicional de dados de solicitação ou resposta. O Envoy rastreia a quantidade de dados de solicitação e resposta em buffer e cancela a solicitação se a quantidade de dados em buffer exceder o limite enviando respostas 413 ou 500. No entanto, quando uma resposta gerada localmente é enviada devido a estouros de buffer internos enquanto a resposta é processada pela cadeia de filtros, a operação pode não ser cancelada corretamente e resultar no acesso a um bloco de memória liberado.
  • CVE-2021-43824: o Envoy apresenta uma falha ao usar o filtro JWT com uma regra de correspondência "safe_regex" e uma solicitação especialmente criada, como "CONNECT host:port HTTP/1.1". Ao chegar ao filtro JWT, uma regra "safe_regex" precisa avaliar o caminho do URL, mas não há nenhum, o que causa falha no Envoy com segfaults.
  • CVE-2022-21654: o Envoy permitiria indevidamente a retomada da sessão TLS depois que as configurações de validação mTLS fossem reconfiguradas. Se um certificado do cliente foi permitido com a configuração antiga, mas não com a nova, o cliente poderá retomar a sessão TLS anterior, mesmo que a configuração atual não permita isso. As seguintes configurações são afetadas:
    • match_subject_alt_names
    • Mudanças na CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: o Envoy não restringe o conjunto de certificados que aceita do peer, como um cliente ou servidor TLS, apenas aos certificados que contêm o extendedKeyUsage necessário (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Ou seja, um peer pode apresentar um certificado de e-mail (por exemplo, id-kp-emailProtection), como um certificado de folha ou como uma AC na cadeia, e ele será aceito no TLS. Essa situação é especialmente prejudicial quando combinada com a CVE-2022-21656, já que permite que uma AC de PKI da Web destinada apenas ao uso com S/MIME (ou seja, isenta de auditoria ou supervisão) emita certificados TLS que serão aceitos pelo Envoy.
  • CVE-2022-21656: a implementação do validador usada para implantar as rotinas de validação de certificado padrão apresenta um bug de "confusão de tipo" ao processar subjectAltNames. Esse processamento permite, por exemplo, que um rfc822Name ou uniformResourceIndicator seja autenticado como um nome de domínio. Essa confusão permite ignorar nameConstraints, conforme processado pela implementação do OpenSSL/BoringSSL, e possibilita a falsificação de identidade de servidores arbitrários.
Para instruções detalhadas sobre produtos específicos, consulte os seguintes boletins de segurança:
O que devo fazer?
Os usuários do Envoy que gerenciam os próprios Envoys precisam usar a versão 1.21.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (oGoogle Cloud fornece os binários do Envoy). Nesses casos, os produtos do Google Cloud serão atualizados para 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

Publicado em: 22/02/2022

Descrição

Descrição Gravidade Observações

As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE a vulnerabilidades que podem ser exploradas remotamente:

  • CVE-2022-23635: o Istiod falha ao receber solicitações com um cabeçalho authorization especialmente criado.
  • CVE-2021-43824: possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT
  • CVE-2021-43825: erro de uso após a liberação (use-after-free) quando os filtros de resposta aumentam os dados de resposta, e esses dados excederem os limites de buffer downstream.
  • CVE-2021-43826: erro de uso após a liberação (use-after-free) durante o tunelamento de TCP em HTTP, se o downstream é desconectado durante o estabelecimento da conexão upstream.
  • CVE-2022-21654: o gerenciamento incorreto de configurações permite a reutilização de uma sessão mTLS sem revalidação após as configurações de validação serem alteradas.
  • CVE-2022-21655: o gerenciamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
  • CVE-2022-23606: esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta

GCP-2022-006

Publicado em: 14/02/2022
Atualizado em: 16/05/2022

Descrição

Descrição Gravidade Observações

Atualização de 16/05/2022: adicionamos a versão 1.19.16-gke.7800 ou mais recente do GKE à lista de versões que corrigem essa vulnerabilidade. Para mais detalhes, consulte o boletim de segurança do GKE.

Atualização de 12/05/2022: as versões do GKE, GKE no VMware, GKE na AWS e GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:

Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada para invasão de contêiner.

 Baixa

Para instruções e mais detalhes, consulte:

GCP-2022-005

Publicado em: 11/02/2022
Atualizado em: 15/02/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado.

Para instruções e mais detalhes, consulte:

Média CVE-2021-43527

GCP-2022-004

Publicado em: 04/02/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

Para instruções e mais detalhes, consulte:

Nenhuma CVE-2021-4034

GCP-2022-002

Publicado em: 01/02/2022
Atualizado em: 25/02/2022

Descrição

Descrição Gravidade Observações

Atualização de 25/02/2022: as versões do GKE foram atualizadas. Para instruções e mais detalhes, consulte:

Atualização de 23/02/2022: as versões do GKE e do GKE no VMware foram atualizadas. Para instruções e mais detalhes, consulte:

Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro.

Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma invasão de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Os pods que usam o GKE Sandbox não estão sujeitos a essas vulnerabilidades. Para mais detalhes, consulte as Notas da versão do COS.

Para instruções e mais detalhes, consulte:

Alta

GCP-2022-001

Publicado em: 06/01/2022

Descrição

Descrição Gravidade Observações

Um possível problema de negação de serviço em protobuf-java foi descoberto durante a análise de dados binários.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [gem JRuby] (3.19.2)

Os usuários do Protobuf "javalite" (normalmente Android) não são afetados.

Quais vulnerabilidades são corrigidas por esse patch?

O patch reduz os riscos da seguinte vulnerabilidade:

Uma falha de implementação na forma como campos desconhecidos são analisados em Java. Um payload malicioso pequeno (~800 KB) pode ocupar o analisador por vários minutos ao criar muitos objetos de curta duração que causam pausas frequentes e repetidas na coleta de lixo.

 Alta CVE-2021-22569

GCP-2021-024

Publicado em: 21/10/2021

Descrição

Descrição Gravidade Observações

Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742. Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

Para instruções e mais detalhes, consulte:

Nenhuma CVE-2021-25742

GCP-2021-019

Publicado em: 29/09/2021

Descrição

Descrição Gravidade Observações

Há um problema conhecido em que a atualização de um recurso BackendConfig usando a API v1beta1 remove uma política de segurança ativa do Google Cloud Armor do serviço.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Baixa

GCP-2021-022

Publicado em: 22/09/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta no módulo LDAP do GKE Enterprise Identity Service (AIS) do GKE nas versões 1.8 e 1.8.1 do VMware, em que uma chave de semente usada na geração de chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE no VMware.

 Alta

GCP-2021-021

Publicado em: 22/09/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

Para instruções e mais detalhes, consulte:

Média CVE-2020-8561

GCP-2021-023

Publicado em: 21/09/2021

Descrição

Descrição Gravidade Observações

De acordo com o alerta de segurança do VMware VMSA-2021-0020, o VMware recebeu relatórios de várias vulnerabilidades no vCenter. O VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos afetados.

Já aplicamos os patches fornecidos pelo VMware à pilha do vSphere no Google Cloud VMware Engine, de acordo com os alertas de segurança do VMware. Essa atualização aborda as vulnerabilidades de segurança descritas em CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Outros problemas de segurança não críticos serão abordados no próximo upgrade da pilha do VMware (de acordo com o aviso enviado com antecedência em julho. Mais detalhes serão fornecidos em breve no cronograma específico do upgrade).

Impacto no VMware Engine

Com base em nossas investigações, nenhum cliente foi afetado.

O que devo fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-020

Publicado em: 17/09/2021

Descrição

Descrição Gravidade Observações

Alguns balanceadores de carga do Google Cloud com roteamento para um serviço de back-end com o Identity-Aware Proxy (IAP) podem ter ficado vulneráveis a uma parte não confiável em condições limitadas. As correções abordam um problema informado no Programa de recompensa para descobertas de vulnerabilidades.

Nesse caso, os servidores:
  • eram balanceadores de carga HTTP(S) e;
  • usavam um back-end padrão ou um que tinha uma regra de mapeamento de host com caractere curinga (ou seja, host="*").

Além disso, um usuário na sua organização precisa ter clicado em um link criado especificamente por uma parte não confiável.

Esse problema já foi resolvido. O IAP foi atualizado para emitir cookies somente a hosts autorizados a partir de 17 de setembro de 2021. Um host é considerado autorizado se corresponder a pelo menos um nome alternativo do requerente (SAN, na sigla em inglês) em um dos certificados instalados nos balanceadores de carga.

O que fazer

Alguns usuários podem receber uma resposta "HTTP 401 Unauthorized" com um código de erro 52 do IAP ao tentar acessar apps ou serviços. Esse código de erro significa que o cliente enviou um cabeçalho Host que não corresponde a nenhum nome alternativo do assunto associado aos certificados SSL do balanceador de carga. Um administrador do balanceador de carga precisa atualizar o certificado SSL para garantir que a lista de nomes alternativos do requerente (SANs) contenha todos os nomes do host pelos quais os usuários acessam os apps ou serviços protegidos pelo IAP. Saiba mais sobre códigos de erro do IAP.

Alta

GCP-2021-018

Publicado em: 15/09/2021
Atualizado em: 20/09/2021

Descrição

Descrição Gravidade Observações

Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

Para instruções e mais detalhes, consulte:

Alta CVE-2021-25741

GCP-2021-017

Publicado em: 01/09/2021
Atualizado em: 23/09/3021

Descrição

Descrição Gravidade Observações

Atualização de 23/09/2021: contêineres em execução no GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados no contêiner.

Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para o acesso raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Publicado em: 24/08/2021

Descrição

Descrição Gravidade Observações

As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE a vulnerabilidades que podem ser exploradas remotamente:

  • CVE-2021-39156: solicitações HTTP com um fragmento (uma seção no fim de um URI que começa com um caractere #) no caminho do URI podem ignorar as políticas de autorização baseadas em caminho de URI do Istio.
  • CVE-2021-39155: solicitações HTTP podem ignorar uma política de autorização do Istio ao usar regras baseadas em hosts ou notHosts.
  • CVE-2021-32781: afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy ou as extensões reservadas que modificam e aumentam o tamanho dos corpos de solicitações ou respostas. Modificar e aumentar o tamanho do corpo em uma extensão do Envoy além do tamanho do buffer interno pode levar o Envoy a acessar a memória desalocada e encerrar de forma anormal.
  • CVE-2021-32780: um serviço upstream não confiável pode fazer com que o Envoy seja encerrado de maneira anormal enviando o frame GOAWAY seguido do frame SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0. Não relevante para o Istio no GKE.
  • CVE-2021-32778: a abertura e a redefinição de um grande número de solicitações HTTP/2 por um cliente do Envoy podem levar ao consumo excessivo da CPU. Não relevante para o Istio no GKE.
  • CVE-2021-32777: solicitações HTTP com vários cabeçalhos de valor podem fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta

GCP-2021-015

Publicado em: 13/07/2021
Atualizado em: 15/07/2021

Descrição

Descrição Gravidade Observações

Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555, em que um usuário malicioso com privilégios CAP_NET_ADMIN pode causar uma invasão de contêiner para acesso raiz no host. Essa vulnerabilidade afeta todos os clusters do GKE e o GKE no VMware que executam o Linux versão 2.6.19 ou posterior.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-22555

GCP-2021-014

Publicado em: 05/07/2021

Descrição

Descrição Gravidade Observações

A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "PrintNightmare", que também afeta os spoolers de impressão do Windows. PrintNightmare: Vulnerabilidade do spooler de impressão crítica do Windows

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Alta CVE-2021-34527

GCP-2021-012

Publicado em: 24/06/2021
Atualizado em: 09/07/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio anunciou uma vulnerabilidade de segurança em que as credenciais especificadas no campo Gateway e no DestinationRule credentialName podem ser acessadas de diferentes namespaces.

Para instruções específicas do produto e mais detalhes, consulte:

 Alta CVE-2021-34824

GCP-2021-011

Publicado em: 04/06/2021
Atualizado em: 19/10/2021

Descrição

Descrição Gravidade Observações

Atualização de 19/10/2021:

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como média.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Média CVE-2021-30465

GCP-2021-010

Publicado em: 25/05/2021

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança do VMware VMSA-2021-0010, a execução remota de código e as vulnerabilidades de desvio de autenticação no vSphere Client (HTML5) foram relatadas de modo privado ao VMware. O VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos VMware afetados.

Aplicamos os patches fornecidos pelo VMware na pilha vSphere de acordo com o aviso de segurança do VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21985 e na CVE-2021-21986. As versões de imagem em execução na nuvem particular do VMware Engine não refletem nenhuma alteração no momento para indicar os patches aplicados. Não se preocupe, os patches adequados foram instalados e seu ambiente está protegido contra essas vulnerabilidades.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que devo fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-008

Publicado em: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway está configurado com a configuração de roteamento AUTO_PASSTHROUGH.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Publicado em: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra de escape (%2F ou %5C) tem a possibilidade de ignorar uma política de autorização do Istio quando regras de autorização baseadas em caminho forem usadas.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

 CVE-2021-31920

GCP-2021-006

Publicado em: 11/05/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920).

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas.

Para instruções e mais detalhes, consulte:

Alta

 CVE-2021-31920

GCP-2021-005

Publicado em: 11/05/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade reportada mostrou que o Envoy não decodifica sequências de barras com escape %2F e %5C em caminhos de URL HTTP nas versões 1.18.2 e anteriores do Envoy. Além disso, alguns produtos baseados no Envoy não ativam controles de normalização de caminho. Um invasor remoto pode criar um caminho com barras com escape (por exemplo, /something%2F..%2Fadmin,) para ignorar o controle de acesso (por exemplo, um bloco em /admin). Um servidor de back-end poderia decodificar sequências de barras e normalizar o caminho para fornecer ao invasor um acesso além do escopo fornecido pela política de controle de acesso.

O que devo fazer?

Se os servidores de back-end tratarem / e %2F ou \ e %5C de modo intercambiável, e uma correspondência baseada em caminho do URL estiver configurada, recomendamos reconfigurar o servidor de back-end para não tratar \ e %2F ou \ e %5C de modo intercambiável, se possível.

Quais mudanças comportamentais foram introduzidas?

As opções normalize_path e juntar barras adjacentes do Envoy foram ativadas para resolver outras vulnerabilidades comuns de confusão de caminho em produtos baseados no Envoy.

Alta

 CVE-2021-29492

GCP-2021-004

Publicado em: 06/05/2021

Descrição

Descrição Gravidade Observações

Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), que permitem que um invasor derrube o Envoy.

Os clusters do Google Kubernetes Engine não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço.

O Google Distributed Cloud Virtual para Bare Metal e o GKE no VMware usam o Envoy por padrão no Ingress. Portanto, os serviços do Ingress podem ficar vulneráveis à negação de serviço.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Média

GCP-2021-003

Publicado em: 19/04/2021

Descrição

Descrição Gravidade Observações

O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que pode permitir que as atualizações de nó ignorem um webhook de admissão de validação.

Em um cenário em que um invasor tem privilégios suficientes e em que um webhook de admissão de validação foi implementado que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os outros webhooks de admissão instalados.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Média

CVE-2021-25735

GCP-2021-002

Publicado em: 05/03/2021

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança da VMware VMSA-2021-0002, o VMware recebeu relatórios de várias vulnerabilidades no VMware ESXi e no vSphere Client (HTML5). O VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos do VMware afetados.

Aplicamos as soluções alternativas documentadas oficialmente da pilha do vSphere de acordo com o aviso de segurança do VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que devo fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-001

Publicado em: 28/01/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado escale os privilégios ao acesso raiz do sistema.

A infraestrutura que executa o Compute Engine não é afetada por essa vulnerabilidade.

Nenhum cluster do Google Kubernetes Engine (GKE), GKE no VMware, GKE na AWS e Google Distributed Cloud Virtual para Bare Metal é afetado por essa vulnerabilidade.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Nenhuma CVE-2021-3156

GCP-2020-015

Publicado em: 07/12/2020
Atualizado em: 22/12/2020

Descrição

Descrição Gravidade Observações

Atualizado em 22/12/2021: o comando para o GKE na seguinte seção deve usar gcloud beta em vez de gcloud.

gcloud container clusters update –no-enable-service-externalips
Atualizado em 15/12/2021: no GKE, a seguinte mitigação já está disponível:
  1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
  2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando: 
    gcloud container clusters update –no-enable-service-externalips

Para mais informações, consulte Como aumentar a proteção do cluster.

O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que pode permitir que um invasor que tenha permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

Todos os clusters do Google Kubernetes Engine (GKE), GKE no VMware e GKE na AWS são afetados por essa vulnerabilidade.

O que devo fazer?

Para instruções e mais detalhes, consulte:

Média

 CVE-2020-8554

GCP-2020-014

Publicado em: 20/10/2020
Atualizado em: 20/10/2020

Descrição

Descrição Gravidade Observações

Recentemente, foram descobertos vários problemas do Kubernetes que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são os seguintes:

  • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
  • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
  • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
  • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4

O que devo fazer?

Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

Nenhuma

Impacto noGoogle Cloud

Consulte os detalhes por produto abaixo.

Produto

Impacto

Google Kubernetes Engine (GKE)

O Google Kubernetes Engine (GKE) não foi afetado.

GKE On-Prem

O GKE On-Prem não é afetado.

GKE na AWS

O GKE na AWS não é afetado.

GCP-2020-013

Publicado em: 29/09/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1472— Uma vulnerabilidade no Windows Server permite que invasores usem o protocolo remoto Netlogon para executar um aplicativo especialmente desenvolvido em um dispositivo na rede.

Pontuação base do NVD: 10 (crítico)

CVE-2020-1472

Para mais informações, consulte a divulgação da Microsoft.

Impacto noGoogle Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Leia abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server precisam garantir que as instâncias foram atualizadas com o patch mais recente do Windows ou usem imagens do Windows Server publicadas após 17/08/2020 (v20200813 ou posterior).

Google Kubernetes Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os clientes que hospedam controladores de domínio nos nós do GKE do Windows Server precisam garantir que os nós e as cargas de trabalho conteinerizadas executadas neles tenham a imagem do nó do Windows mais recente quando estiver disponível. Uma nova versão da imagem do nó será anunciada nas Notas da versão do GKE em outubro.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

O patch de agosto lançado pela Microsoft, que inclui correções no protocolo NetLogon, foi aplicado a todos os controladores de domínio do Microsoft AD gerenciados. Esse patch oferece a funcionalidade de proteção contra possíveis explorações. A aplicação oportuna dos patches é uma das principais vantagens do uso do serviço gerenciado no Microsoft Active Directory. Todos os clientes que executam o Microsoft Active Directory manualmente (e não utilizam o serviço gerenciado do Google Cloud) precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-012

Publicado em: 14/09/2020
Atualizado em: 17/09/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que pode permitir que os escapes de contêineres recebam privilégios raiz no nó host.

Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

Para instruções e mais detalhes, consulte:


Qual vulnerabilidade é corrigida por esse patch?

O patch reduz a seguinte vulnerabilidade:

A vulnerabilidade CVE-2020-14386, que permite que contêineres com CAP_NET_RAW
gravem de 1 a 10 bytes de memória do kernel e possivelmente escapem o contêiner e recebam privilégios raiz no nó host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

Alta

CVE-2020-14386

GCP-2020-011

Publicado em: 24/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de rede, CVE-2020-8558, foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

Para instruções e mais detalhes, consulte:

Baixa (GKE e GKE na AWS),
média (GKE no VMware)

CVE-2020-8558

GCP-2020-010

Publicado em: 27/07/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1350: os Windows Servers que atendem em uma capacidade de servidor DNS podem ser explorados para executar códigos não confiáveis pela conta do sistema local.

Pontuação base do NVD: 10,0 (crítico)

CVE-2020-1350

Para mais informações, consulte a divulgação da Microsoft.

Impacto noGoogle Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Leia abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server em uma capacidade de servidor DNS precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam o GKE com o nó do Windows Server em uma capacidade de servidor DNS precisam atualizar manualmente os nós e as cargas de trabalho conteinerizadas executadas nesses nós para uma versão do Windows Server com a correção.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem corrigida. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-009

Publicado em: 15/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559, foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não compromete os nós do cluster.

Para instruções e mais detalhes, consulte:

Média

CVE-2020-8559

GCP-2020-008

Publicado em: 19/06/2020

Descrição

Descrição Gravidade Observações

Descrição

As VMs com o Login do SO ativado podem ser suscetíveis a vulnerabilidades de escalonamento de privilégios. Com essas vulnerabilidades, os usuários que têm permissões do Login do SO sem acesso de administrador podem escalonar para o acesso raiz na VM.

Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.

 Alta

GCP-2020-007

Publicado em: 01/06/2020

Descrição

Descrição Gravidade Observações

A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações sensíveis da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE, na sigla em inglês) usa controladores do Kubernetes e, portanto, é afetado por essa vulnerabilidade. Recomendamos que você atualize o plano de controle para a versão mais recente do patch. Não é necessário fazer upgrade do nó.

Para instruções e mais detalhes, consulte:

Média

CVE-2020-8555 (em inglês)

GCP-2020-006

Publicado em: 01/06/2020

Descrição

Descrição Gravidade Observações

O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, por exemplo, entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos nem modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch.

Para instruções e mais detalhes, consulte:

Média

Problema 91507 do Kubernetes

GCP-2020-005

Publicado em: 07/05/2020

Descrição

Vulnerabilidade

Gravidade

CVE

Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835, permitindo que o escape de contêiner receba privilégios de raiz no nó do host.

Os nós do Ubuntu do Google Kubernetes Engine (GKE) que executam o GKE 1.16 ou 1.17 são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch o mais rápido possível.

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Alta

CVE-2020-8835

GCP-2020-004

Publicado em: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Média

CVE-2019-11254

Consulte o boletim de segurança do GKE no VMware para instruções e mais detalhes.

GCP-2020-003

Publicado em: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Média

CVE-2019-11254

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-002

Publicado em: 23/03/2020
Atualizado em: 23/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2020-8551 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o kubelet.

Média

CVE-2020-8551

CVE-2020-8552 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor de API.

Média

CVE-2020-8552

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-001

Publicado em: 21/01/2020
Atualizado em: 21/01/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-0601 — é uma vulnerabilidade também é conhecida como a vulnerabilidade de spoofing da API Windows Crypto. Ela pode ser explorada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões do usuário com o software afetado.

Pontuação base do NVD: 8,1 (alta)

CVE-2020-0601

Para mais informações, consulte a divulgação da Microsoft.

Impacto noGoogle Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Leia abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine e executam o Windows Server devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 15/01/2020. Consulte o boletim de segurança do Compute Engine para saber mais detalhes.

Google Kubernetes Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os nós e as cargas de trabalho em contêiner que são executadas nesses nós precisam ser atualizados para versões em patch para reduzir a vulnerabilidade caso o usuário use o GKE com nós do Windows Server. Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem corrigida. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 15/01/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP 2019-001

Publicado em: 12/11/2019
Atualizado em: 12/11/2019

Descrição

A Intel divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11135 — essa vulnerabilidade, chamada TSX Async Abort (TAA, na sigla em inglês), pode ser usada para explorar a execução especulativa em uma transação do TSX. Essa vulnerabilidade permite que os dados sejam possivelmente expostos por meio das mesmas estruturas de dados de microarquitetura expostas pela amostragem de dados de microarquitetura (MDS, na sigla em inglês).

Média

CVE-2019-11135

CVE-2018-12207 — essa é uma vulnerabilidade de negação de serviço (DoS) que afeta hosts (não convidados) de máquinas virtuais. Esse problema é conhecido como "Erro de verificação da máquina na alteração de tamanho da página".

Média

CVE-2018-12207

Para mais informações, consulte as divulgações da Intel:

Impacto noGoogle Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google é protegida contra essas vulnerabilidades. Leia abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes N2, C2 ou M2 que executam código não confiável nos próprios serviços com vários locatários em máquinas virtuais do Compute Engine precisam encerrar e iniciar as VMs para garantir que elas tenham as mitigações de segurança mais recentes.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Google Kubernetes Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Se você usar pools com nós N2, M2 ou C2 e esses nós executarem o código não confiável nos próprios clusters do GKE com vários locatários, será necessário reiniciá-los. Se você quiser reiniciar todos os nós de um pool, faça upgrade do pool afetado.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Ambiente padrão do App Engine

Nenhuma outra ação é necessária.

Ambiente flexível do App Engine

CVE-2019-11135

Nenhuma outra ação é necessária.

Os clientes precisam analisar as práticas recomendadas da Intel com relação ao compartilhamento no nível do aplicativo que pode ocorrer entre hyperthreads em uma VM flexível.

CVE-2018-12207

Nenhuma outra ação é necessária.

Cloud Run

Nenhuma outra ação é necessária.

Cloud Run functions

Nenhuma outra ação é necessária.

Cloud Composer

Nenhuma outra ação é necessária.

Dataflow

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Dataflow que executam várias cargas de trabalho não confiáveis em VMs do Compute Engine N2, C2 ou M2 gerenciadas pelo Dataflow e que estão preocupados com ataques entre os convidados precisam reiniciar todos os pipelines de streaming em execução no momento. Como opção, os pipelines em lote podem ser cancelados e executados novamente. Nenhuma ação é necessária com relação aos pipelines lançados de amanhã em diante.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Dataproc

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Cloud Dataproc que executam várias cargas de trabalho não confiáveis no mesmo cluster do Cloud Dataproc que está em execução em VMs do Compute Engine N2, C2 ou M2 e que estão preocupados com ataques entre os convidados precisam reimplantar os clusters.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Cloud SQL

Nenhuma outra ação é necessária.